SOC Prime Bias: Élevé

17 Apr 2026 14:27 UTC

Débusquer un affilié: SmokedHam, Qilin, quelques annonces Google et un peu de bossware

Author Photo
SOC Prime Team linkedin icon Suivre
Débusquer un affilié: SmokedHam, Qilin, quelques annonces Google et un peu de bossware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Orange Cyberdefense a rapporté qu’au début de 2026, un affilié de ransomware a distribué le cheval de Troie SmokedHam par le biais de publicités malveillantes se faisant passer pour un logiciel utilitaire légitime. Dans au moins une intrusion confirmée, le cheval de Troie a ensuite été utilisé pour livrer le ransomware Qilin. Les chercheurs ont attribué l’activité avec une confiance modérée à l’affilié russophone UNC2465, un acteur de la menace précédemment associé aux opérations de DarkSide, LockBit et Hunters International.

Enquête

L’enquête a examiné plus de 30 échantillons de SmokedHam collectés pendant 2025 et 2026, identifiant des domaines de malvertising qui utilisaient Cloudflare Workers pour le fronting de domaine, aux côtés d’une infrastructure hébergée sur AWS. Les analystes ont également documenté l’abus d’outils légitimes tels que PuTTY et Total Commander pour aider les activités malveillantes à se fondre dans les opérations administratives normales. Le rapport a en outre souligné des recoupements tactiques avec des activités précédemment liées à UNC2465.

Atténuation

Les défenseurs devraient bloquer les domaines de malvertising connus, appliquer une liste blanche d’applications pour les outils tels que RVTools et Remote Desktop Manager, et surveiller l’utilisation inhabituelle des outils administratifs légitimes. La couverture de détection sur les points d’accès doit également être renforcée pour identifier le comportement du cheval de Troie SmokedHam et l’activité post-compromission associée. L’utilisation de flux d’intelligence sur les menaces basés sur le cloud peut également améliorer les efforts de détection et d’enrichissement.

Réponse

Si une activité suspecte est identifiée, isolez immédiatement l’hôte affecté, collectez des artefacts judiciaires et recherchez des indicateurs associés à la fois à SmokedHam et Qilin. Les enquêteurs doivent également déterminer si un vol de données d’identification ou un chiffrement par ransomware a déjà eu lieu. Une chasse aux menaces plus large à travers l’infrastructure associée est recommandée, ainsi que l’activation de procédures d’intervention pour les incidents de ransomware établies.

Flux du Attaque

Simulation

Nous mettons encore à jour cette partie. Inscrivez-vous pour être notifié

Notifier