Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une campagne observée en avril 2026 a utilisé des courriels de spear-phishing avec des fichiers LNK malveillants ou des téléchargements exécutables hébergés sur Google Cloud Storage. La charge utile fournie a installé un pilote de noyau appelé PoisonX avec un RAT modulaire nommé 10FXRAT, permettant aux attaquants d’obtenir des privilèges au niveau du noyau, de désactiver les outils de sécurité et de dissimuler les activités malveillantes. Des variantes ultérieures ont également adopté des tactiques BYOVD grâce à des pilotes signés légitimes tels que EneIo64.sys and procexp.sys. Cette activité a été observée ciblant des organisations au Japon et en Chine.
Enquête
Le rapport décrit toute la chaîne d’exécution, en commençant par un téléchargeur basé sur LNK qui invoque curl.exe, puis en passant aux composants PXDropper qui déploient le pilote PoisonX et les modules 10FXRAT. Il décrit également les routines IOCTL basées sur le pilote utilisées pour mettre fin aux processus liés à la sécurité et masquer le trafic réseau. Les chercheurs ont documenté les vérifications anti-analyse, les modifications de registre, la création de services et les méthodes de persistance, et ont listé les adresses IP de commande et de contrôle codées en dur associées à l’opération.
Atténuation
Les défenseurs doivent surveiller l’activité inattendue d’installation de pilotes, en particulier les pilotes qui ne sont pas signés ou signés de manière suspecte, et la création de services avec des noms de fichiers de type HID aléatoires. La détection doit également couvrir les modifications du registre qui ajoutent des exclusions de Microsoft Defender ou désactivent les services Defender. Le trafic sortant vers les plages IP de commande et de contrôle identifiées doit être bloqué, et la surveillance du réseau doit chercher la valeur magique 0x58463031 dans les charges TCP.
Réponse
En cas de détection de cette activité, isolez immédiatement le point final affecté, déchargez le pilote PoisonX si possible, et terminez tous les processus 10FXRAT. Restaurez les paramètres de registre modifiés, réactivez les protections de Microsoft Defender, et remplacez les fichiers modifiés par des versions propres de sources fiables. Une enquête judiciaire complète doit ensuite être réalisée pour identifier les mécanismes de persistance et examiner le trafic vers les serveurs de commande et de contrôle connus.
"graph TB %% Class definitions classDef action fill:#ffcc99 classDef tool fill:#99ff99 classDef malware fill:#ff9966 classDef process fill:#ccccff %% Nodes email["<b>Outil</b> – <b>Nom</b>: Courriel de phishing<br/><b>Description</b>: Courriel ciblé avec lien malveillant Google Cloud Storage"] class email tool initial_access_phishing["<b>Action</b> – <b>T1566.002 Lien de spearphishing</b><br/>L’attaquant envoie un courriel contenant un lien vers un fichier LNK ou EXE malveillant"] class initial_access_phishing action lNK_file["<b>Outil</b> – <b>Nom</b>: Raccourci LNK malveillant<br/><b>Description</b>: Raccourci qui exécute curl.exe pour récupérer le dropper"] class lNK_file tool curl_download["<b>Processus</b> – <b>Nom</b>: curl.exe<br/><b>Action</b>: Télécharge la charge utile PXDropper depuis le serveur distant"] class curl_download process pxdropper["<b>Malware</b> – <b>Nom</b>: PXDropper<br/><b>Description</b>: Dropper qui configure la persistance et prépare l’élévation de privilèges"] class pxdropper malware persistence_service["<b>Action</b> – <b>T1547.009 Modification de raccourci</b><br/>Crée ou modifie un raccourci pour obtenir un démarrage automatique"] class persistence_service action registry_run["<b>Action</b> – <b>T1547.001 Clés Run du registre/Dossier de démarrage</b><br/>Ajoute une entrée « Run » dans le registre pour une exécution automatique"] class registry_run action service_creation["<b>Action</b> – <b>T1543.003 Créer ou modifier un processus système : Service Windows</b><br/>Installe un service Windows pour exécuter le dropper au démarrage"] class service_creation action priv_esc_exploit["<b>Action</b> – <b>T1068 Exploitation pour l’élévation de privilèges</b><br/>Exploite une vulnérabilité pour charger un pilote signé"] class priv_esc_exploit action driver_install["<b>Malware</b> – <b>Nom</b>: Pilote PoisonX<br/><b>Description</b>: Pilote de noyau signé chargé en tant que service (BYOVD)"] class driver_install malware kernel_privilege["<b>Action</b> – <b>T1547.006 Exécution au démarrage ou à la connexion</b><br/>Le pilote du noyau accorde des privilèges de niveau SYSTEM"] class kernel_privilege action defense_evasion["<b>Action</b> – <b>T1497.001 Evasion de virtualisation/sandbox</b><br/>Effectue des vérifications pour les environnements d’analyse"] class defense_evasion action rootkit["<b>Action</b> – <b>T1014 Rootkit</b><br/>Accroche les API du noyau pour masquer les processus et le trafic réseau"] class rootkit action discovery_process["<b>Action</b> – <b>T1057 Découverte de processus</b><br/>Enumère les processus en cours sur l’hôte"] class discovery_process action discovery_security["<b>Action</b> – <b>T1518.001 Découverte de logiciels de sécurité</b><br/>Détecte les produits de sécurité installés"] class discovery_security action defense_impair["<b>Action</b> – <b>Impairment de la défense</b><br/>Utilise des commandes IOCTL du pilote pour terminer les processus des produits de sécurité"] class defense_impair action c2_ratat["<b>Malware</b> – <b>Nom</b>: 10FXRAT<br/><b>Description</b>: Outil d’accès à distance qui crée un proxy SOCKS5 interne"] class c2_ratat malware c2_communication["<b>Action</b> – <b>T1219 Outils d’accès à distance</b><br/>Établit un canal C2 chiffré avec l’attaquant"] class c2_communication action proxy_setup["<b>Action</b> – <b>T1090 Proxy</b><br/>Configure un tunnel SOCKS5 interne pour le transfert de trafic"] class proxy_setup action additional_mods["<b>Action</b> – <b>Capacités supplémentaires</b><br/>Des modules complémentaires fournissent l’enregistrement des frappes, le vol d’identifiants et la collecte de portefeuilles crypto"] class additional_mods action %% Connections showing the attack flow email –>|délivre| initial_access_phishing initial_access_phishing –>|fournit| lNK_file lNK_file –>|exécute| curl_download curl_download –>|télécharge| pxdropper pxdropper –>|crée| persistence_service persistence_service –>|enregistre| service_creation service_creation –>|exécute| pxdropper pxdropper –>|ajoute| registry_run pxdropper –>|utilise| priv_esc_exploit priv_esc_exploit –>|installe| driver_install driver_install –>|accorde| kernel_privilege kernel_privilege –>|active| rootkit rootkit –>|effectue| defense_evasion rootkit –>|effectue| discovery_process rootkit –>|effectue| discovery_security discovery_process –>|active| defense_impair pxdropper –>|dépose| c2_ratat c2_ratat –>|utilise| c2_communication c2_communication –>|établit| proxy_setup proxy_setup –>|prend en charge| additional_mods "
Flux d’attaque
Détections
Utilisation suspecte de CURL (via cmdline)
Voir
Points de persistance possibles [ASEPs – Ruche Software/NTUSER] (via registre_événement)
Voir
Désactivation des protections de Windows Defender (via registre_événement)
Voir
Fichier LNK malveillant possible avec double extension (via cmdline)
Voir
Possibilité d’exécution via lignes de commande PowerShell cachées (via cmdline)
Voir
Appel de classes/méthodes .NET suspectes depuis PowerShell CommandLine (via creation_processus)
Voir
Exécution de processus système depuis des chemins atypiques (via creation_processus)
Voir
Appel de méthodes .NET suspectes depuis PowerShell (via powershell)
Voir
Modifications suspectes des préférences de Windows Defender (via powershell)
Voir
Domaine de stockage API Google résolu par un processus inhabituel (via requête_dns)
Voir
IOCs (HashSha256) pour détecter : Campagne d’attaque basée sur le pilote PoisonX ciblant des organisations japonaises Partie 2
Voir
IOCs (HashSha256) pour détecter : Campagne d’attaque basée sur le pilote PoisonX ciblant des organisations japonaises Partie 1
Voir
IOCs (SourceIP) pour détecter : Campagne d’attaque basée sur le pilote PoisonX ciblant des organisations japonaises
Voir
IOCs (DestinationIP) pour détecter : Campagne d’attaque basée sur le pilote PoisonX ciblant des organisations japonaises
Voir
Détection de la communication C2 de 10FXRAT [Connection Réseau Windows]
Voir
Détection des commandes de désactivation de 10FXRAT et du service de sécurité [Création de processus Windows]
Voir
Persistance des malwares via Windows Defender et modifications de la clé Run [Evénement du registre Windows]
Voir
Exécution de la simulation
Prérequis : La vérification préliminaire de la télémétrie et de la ligne de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Narratif de l’attaque et commandes :
L’attaquant injecte d’abord une charge utile shellcode personnalisée dansusoclient64.exepour obtenir un pied dans le processus de confiance (T1574.009). Avec le processus détourné, ils exécutent un one-liner PowerShell qui ajoute le dossier de la charge utile malveillante à la liste des exclusions de Windows Defender (T1564.012). Enfin, ils désactivent les services de sécurité principaux en utilisant une chaînecmd.exequi arrête Windows Defender, le Centre de sécurité Windows, et tout antivirus tiers (T1547.001 persistance via l’interruption du service).- Hollowing / Injection de processus – simuler en lançant
usoclient64.exeavec un script PowerShell qui dort (représente le code injecté). - Ajouter une exclusion Defender – commande PowerShell correspondant exactement à la chaîne de la règle.
- Arrêter les services de sécurité –
cmd.exeone-liner qui arrête les services.
- Hollowing / Injection de processus – simuler en lançant
-
Script de test de régression :
# ------------------------------------------------------------------------- # Script de simulation – déclenche la règle Sigma pour un comportement similaire à 10FXRAT # ------------------------------------------------------------------------- # 1. Simuler l'injection usoclient64.exe (espace réservé à l'implantation du processus) $usoclient = "$env:SystemRootSystem32usoclient64.exe" Write-Host "[*] Lancement de usoclient64.exe (injection simulée)..." Start-Process -FilePath $usoclient -ArgumentList "/RunDll32" -WindowStyle Hidden # 2. Commande PowerShell qui ajoute un chemin d'exclusion Defender (correspond à la règle) Write-Host "[*] Ajout du chemin d'exclusion de Windows Defender..." powershell.exe -NoP -NonI -W Hidden -C "Add-MpPreference -ExclusionPath 'C:TempMalicious'" # 3. Désactiver les services de sécurité via cmd (correspond à la règle) Write-Host "[*] Arrêt des services de sécurité..." cmd.exe /c "net stop WinDefend /y >nul 2>&1 & net stop wscsvc /y >nul 2>&1 & net stop Sense /y >nul 2>&1" Write-Host "[+] Simulation terminée. Vérifiez les alertes dans le SIEM." -
Commandes de nettoyage :
# ------------------------------------------------------------------------- # Nettoyage – restaure la posture de sécurité normale # ------------------------------------------------------------------------- # Supprimer l'exclusion Defender powershell.exe -NoP -NonI -W Hidden -C "Remove-MpPreference -ExclusionPath 'C:TempMalicious'" # Redémarrer les services arrêtés cmd.exe /c "net start WinDefend >nul 2>&1 & net start wscsvc >nul 2>&1 & net start Sense >nul 2>&1" # Quitter éventuellement l'instance usoclient64.exe injectée Get-Process -Name usoclient64 -ErrorAction SilentlyContinue | Stop-Process -Force Write-Host "[+] Nettoyage terminé."