Débusquer un affilié: SmokedHam, Qilin, quelques annonces Google et un peu de bossware
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Orange Cyberdefense a rapporté qu’au début de 2026, un affilié de ransomware a distribué le cheval de Troie SmokedHam par le biais de publicités malveillantes se faisant passer pour un logiciel utilitaire légitime. Dans au moins une intrusion confirmée, le cheval de Troie a ensuite été utilisé pour livrer le ransomware Qilin. Les chercheurs ont attribué l’activité avec une confiance modérée à l’affilié russophone UNC2465, un acteur de la menace précédemment associé aux opérations de DarkSide, LockBit et Hunters International.
Enquête
L’enquête a examiné plus de 30 échantillons de SmokedHam collectés pendant 2025 et 2026, identifiant des domaines de malvertising qui utilisaient Cloudflare Workers pour le fronting de domaine, aux côtés d’une infrastructure hébergée sur AWS. Les analystes ont également documenté l’abus d’outils légitimes tels que PuTTY et Total Commander pour aider les activités malveillantes à se fondre dans les opérations administratives normales. Le rapport a en outre souligné des recoupements tactiques avec des activités précédemment liées à UNC2465.
Atténuation
Les défenseurs devraient bloquer les domaines de malvertising connus, appliquer une liste blanche d’applications pour les outils tels que RVTools et Remote Desktop Manager, et surveiller l’utilisation inhabituelle des outils administratifs légitimes. La couverture de détection sur les points d’accès doit également être renforcée pour identifier le comportement du cheval de Troie SmokedHam et l’activité post-compromission associée. L’utilisation de flux d’intelligence sur les menaces basés sur le cloud peut également améliorer les efforts de détection et d’enrichissement.
Réponse
Si une activité suspecte est identifiée, isolez immédiatement l’hôte affecté, collectez des artefacts judiciaires et recherchez des indicateurs associés à la fois à SmokedHam et Qilin. Les enquêteurs doivent également déterminer si un vol de données d’identification ou un chiffrement par ransomware a déjà eu lieu. Une chasse aux menaces plus large à travers l’infrastructure associée est recommandée, ainsi que l’activation de procédures d’intervention pour les incidents de ransomware établies.
Flux du Attaque
Détections
Points de persistance possibles [ASEPs – Hive logiciel/NTUSER] (via registry_event)
Voir
Compression de données possible pour infiltration ou exfiltration (via cmdline)
Voir
Exécution GPG suspecte (via cmdline)
Voir
Chaînes Powershell suspectes (via powershell)
Voir
Appeler des méthodes .NET suspectes depuis Powershell (via powershell)
Voir
Tentative possible d’abus de Publicnode Ethereum en tant que canal C2 (via dns_query)
Voir
C2 / Infiltration / Exfiltration de données possible via services/outils tiers (via proxy)
Voir
C2 / Infiltration / Exfiltration de données possible via services/outils tiers (via dns)
Voir