SOC Prime Bias: Critique

01 Jul 2026 09:05 UTC

Panda Aquatique (Earth Lusca) : Campagnes, Logiciels Malveillants et TTPs

Author Photo
SOC Prime Team linkedin icon Suivre
Panda Aquatique (Earth Lusca) : Campagnes, Logiciels Malveillants et TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Aquatic Panda est un groupe APT aligné sur la Chine, axé sur la collecte de renseignements et l’espionnage industriel. Le groupe utilise un arsenal de logiciels malveillants diversifié, y compris SprySOCKS, ShadowPad et BIOPASS RAT, pour cibler les industries critiques. Ses opérations impliquent également l’exploitation de vulnérabilités telles que Log4Shell et l’utilisation de rootkits avancés pour rester discret.

Investigation

Le rapport décrit plusieurs campagnes, y compris l’Opération FishMedley et des attaques impliquant des serveurs VMware Horizon. Il examine la conception technique de la porte dérobée SprySOCKS, y compris sa fonctionnalité rootkit en mode noyau et ses caractéristiques de persistance. L’analyse détaille également les TTP spécifiques du groupe pour l’accès initial, l’exécution et l’évasion de la défense.

Atténuation

Les organisations devraient valider leurs défenses contre les techniques connues d’Aquatic Panda en utilisant des plateformes de simulation et de test. Les atténuations clés incluent le correctif des vulnérabilités Log4j telles que CVE-2021-44228 et surveiller les tâches planifiées non autorisées ou les changements suspects de services Windows. Une protection des points d’extrémité robuste est également essentielle pour identifier le chargement de DLL et l’injection de processus.

Réponse

Si une activité Aquatic Panda est détectée, les intervenants devraient isoler immédiatement les systèmes affectés pour stopper le mouvement latéral. Les enquêtes devraient se concentrer sur les changements non autorisés du registre, surtout au niveau des Processors Print ou des paramètres IFEO. L’analyse forensic devrait donner la priorité à la collecte de mémoire des processus suspects et à l’audit des tâches planifiées et des services Windows.

"flowchart TD step_resource_development["Développement des ressources : Enregistrement de domaines homographes et mise en scène d’outils JNDI/Log4Shell"] step_initial_access["Accès initial : Exploitation de Log4j (CVE-2021-44228) dans VMware Horizon"] step_execution["Exécution : Cradles de téléchargement PowerShell, cmd/C avec curl/wget, Tâches planifiées et Services Windows"] step_persistence["Persistance : Création de services Windows, tâches planifiées et enregistrement de DLL de processeur d’impression"] step_privilege_escalation["Escalade de privilèges : Injection IFEO et Manipulation de jeton d’accès via CreateProcessAsUserW"] step_defense_impairment["Altération de la défense : Modification du pare-feu hôte Windows avec usurpation ICMPv6"] step_credential_access["Accès aux informations d’identification : Dumping mémoire de LSASS, vol des hives SAM/SYSTEM, vol d’informations d’identification du navigateur et DLL du filtre de mot de passe"] step_discovery["Découverte : Enumération des services, des processus, des informations système et des produits de sécurité logiciels"] step_collection["Collecte : Keylogging et archivage des données avec WinRAR"] step_command_and_control["Commande et contrôle : TCP/UDP/WebSockets avec AES-128 et Signalisation de trafic basée sur WFP"] step_stealth["Furtivité : Rootkit en mode noyau (RawWNPF), Injection de processus, Chargement de DLL et Évasion de Sandbox"] rules_for_step_stealth("<b>Nom de la règle</b> : Chemin de processus suspect (via cmdline)<br/><b>ID de la règle</b> : f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["Exfiltration : Transfert de données via C2 ou Dropbox (dbxcli)"] step_resource_development –>|leads_to| step_initial_access step_initial_access –>|leads_to| step_execution step_execution –>|leads_to| step_persistence step_persistence –>|leads_to| step_privilege_escalation step_privilege_escalation –>|leads_to| step_defense_impairment step_defense_impairment –>|leads_to| step_credential_access step_credential_access –>|leads_to| step_discovery step_discovery –>|leads_to| step_collection step_collection –>|leads_to| step_command_and_control step_command_and_control –>|leads_to| step_stealth step_stealth –>|leads_to| step_exfiltration step_stealth -.->|detected_by| rules_for_step_stealth "

Flux d’attaque

Détections

Compression de données possible pour infiltration ou exfiltration (via cmdline)

Équipe SOC Prime
30 juin 2026

Énumération possible des services (via cmdline)

Équipe SOC Prime
30 juin 2026

Dumping possible du SAM/SYSTEM/SECURITY (via cmdline)

Équipe SOC Prime
30 juin 2026

Dumping possible des informations d’identification en utilisant Comsvcs.dll (via cmdline)

Équipe SOC Prime
30 juin 2026

Dumping possible des informations d’identification en utilisant comsvcs.dll (via powershell)

Équipe SOC Prime
30 juin 2026

Modifications suspectes du pare-feu via CLI (via cmdline)

Équipe SOC Prime
30 juin 2026

Chaîne de processus système anormale (via process_creation)

Équipe SOC Prime
30 juin 2026

Fonctionnalités d’accessibilité possibles via l’abus du registre (via cmdline)

Équipe SOC Prime
30 juin 2026

Points de persistance possibles [ASEPs – Hive Software/NTUSER] (via registry_event)

Équipe SOC Prime
30 juin 2026

Création de service suspecte pour la persistance (via système)

Équipe SOC Prime
30 juin 2026

Opérations d’image de service par processus rare (via registry_event)

Équipe SOC Prime
30 juin 2026

Emplacement suspect d’exécution d’exécutables/scripts via [cmd.exe /C] (via cmdline)

Équipe SOC Prime
30 juin 2026

Appeler des classes/méthodes .NET suspectes à partir de CommandLine PowerShell (via process_creation)

Équipe SOC Prime
30 juin 2026

Schtasks pointe vers un répertoire / binaire / script suspect (via cmdline)

Équipe SOC Prime
30 juin 2026

Chemin de processus suspect (via cmdline)

Équipe SOC Prime
30 juin 2026

Allocation de mémoire pour le creusement de processus [Windows Sysmon]

Règles AI de SOC Prime
30 juin 2026

Modifications du registre pour le détournement de débogueur et la persistance des processeurs d’impression [Événement du registre Windows]

Règles AI de SOC Prime
30 juin 2026

Création de tâche planifiée et téléchargement malveillant via PowerShell [Création de processus Windows]

Règles AI de SOC Prime
30 juin 2026

## Exécution de la simulation

Prérequis : La vérification préalable de la télémétrie et de la ligne de base doit avoir été passée.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit doivent refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Narration et commandes d’attaque : Un adversaire a l’intention d’effectuer un creusement de processus pour masquer du code malveillant dans un conteneur de processus légitime. Pour tester si la détection actuelle (bien que défectueuse) se déclenche, l’adversaire lancera powershell.exe à partir d’un répertoire spécifique. Cela simule la phase initiale d’une attaque Living-off-the-Land (LotL) où l’adversaire utilise un outil système standard pour commencer ses activités malveillantes, telles que l’injection de mémoire ou la collecte d’identifiants. L’objectif est de générer un Événement de création de processus où le champ Image contient une barre oblique, comme défini dans la logique de détection.

  • Script de test de régression :

     # Simulation d'un lancement de processus qui satisfait à la logique de détection (faible)
      # Ceci mime le début d'une session d'un adversaire en utilisant un outil standard
      $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
      Write-Host "Exécution : $targetProcess"
      Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host 'Simulation Active'"
  • Commandes de nettoyage :

     # Aucun changement persistant effectué ; aucun nettoyage requis pour cette simulation.
      Write-Host "Nettoyage de la simulation terminé."