Débusquer un affilié: SmokedHam, Qilin, quelques annonces Google et un peu de bossware

SOC Prime Team

Suivre

Débusquer un affilié: SmokedHam, Qilin, quelques annonces Google et un peu de bossware

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Orange Cyberdefense a rapporté qu’au début de 2026, un affilié de ransomware a distribué le cheval de Troie SmokedHam par le biais de publicités malveillantes se faisant passer pour un logiciel utilitaire légitime. Dans au moins une intrusion confirmée, le cheval de Troie a ensuite été utilisé pour livrer le ransomware Qilin. Les chercheurs ont attribué l’activité avec une confiance modérée à l’affilié russophone UNC2465, un acteur de la menace précédemment associé aux opérations de DarkSide, LockBit et Hunters International.

Enquête

L’enquête a examiné plus de 30 échantillons de SmokedHam collectés pendant 2025 et 2026, identifiant des domaines de malvertising qui utilisaient Cloudflare Workers pour le fronting de domaine, aux côtés d’une infrastructure hébergée sur AWS. Les analystes ont également documenté l’abus d’outils légitimes tels que PuTTY et Total Commander pour aider les activités malveillantes à se fondre dans les opérations administratives normales. Le rapport a en outre souligné des recoupements tactiques avec des activités précédemment liées à UNC2465.

Atténuation

Les défenseurs devraient bloquer les domaines de malvertising connus, appliquer une liste blanche d’applications pour les outils tels que RVTools et Remote Desktop Manager, et surveiller l’utilisation inhabituelle des outils administratifs légitimes. La couverture de détection sur les points d’accès doit également être renforcée pour identifier le comportement du cheval de Troie SmokedHam et l’activité post-compromission associée. L’utilisation de flux d’intelligence sur les menaces basés sur le cloud peut également améliorer les efforts de détection et d’enrichissement.

Réponse

Si une activité suspecte est identifiée, isolez immédiatement l’hôte affecté, collectez des artefacts judiciaires et recherchez des indicateurs associés à la fois à SmokedHam et Qilin. Les enquêteurs doivent également déterminer si un vol de données d’identification ou un chiffrement par ransomware a déjà eu lieu. Une chasse aux menaces plus large à travers l’infrastructure associée est recommandée, ainsi que l’activation de procédures d’intervention pour les incidents de ransomware établies.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[« Action – T1659 Injection de contenu (Malvertising) Installateur malveillant déguisé en RVTools/Remote Desktop Manager »] class action_initial action action_user_exec[« Action – T1204 Exécution par l’utilisateur La victime exécute l’installateur déguisé »] class action_user_exec action malware_smokedham[« Malware – T1127 Exécution proxy d’outils développeur de confiance Backdoor SmokedHam installé »] class malware_smokedham malware action_embedded_payload[« Action – T1027.009 Charges utiles intégrées Charge utile SmokedHam obfusquée dans un outil légitime »] class action_embedded_payload action action_polymorphic[« Action – T1027.014 Code polymorphique La variante utilise le packing et la mutation de code »] class action_polymorphic action action_rat[« Action – T1219 Outils d’accès à distance SmokedHam établit un C2 en utilisant des outils légitimes »] class action_rat action tool_putty[« Outil – PuTTY Client SSH utilisé pour le C2 »] class tool_putty tool tool_kitty[« Outil – KiTTY Variante de client SSH »] class tool_kitty tool tool_zoho[« Outil – Zoho Assist Outil de support à distance utilisé pour le C2 »] class tool_zoho tool action_c2_comm[« Action – T1102.001/002/003 Communication C2 via Cloudflare Workers et AWS »] class action_c2_comm action service_cloudflare[« Service – Cloudflare Workers »] class service_cloudflare service service_aws[« Service – AWS »] class service_aws service action_tunnel[« Action – T1572 Tunneling de protocole Trafic tunnelisé via des services légitimes »] class action_tunnel action action_ssh_hijack[« Action – T1563.001 Détournement de session de service distant (SSH) Détournement via identifiants volés »] class action_ssh_hijack action action_rdp_hijack[« Action – T1563.002 Détournement de session de service distant (RDP) Détournement de sessions RDP »] class action_rdp_hijack action action_exploit_remote[« Action – T1210 Exploitation de services distants Mouvement latéral vers des hôtes internes »] class action_exploit_remote action action_input_capture[« Action – T1056.003 Capture d’entrée Capture des identifiants de portail web »] class action_input_capture action action_account_manip[« Action – T1098.004 Manipulation de comptes Ajout de clés SSH pour la persistance »] class action_account_manip action malware_qilin[« Malware – Ransomware Qilin Chiffre les données de la victime »] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

Flux du Attaque

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement