Researchers Warn of MystRodX Backdoor Using DNS and ICMP Triggers for Stealthy Control

MystRodX : La Nouvelle Menace Cachée

Des chercheurs en cybersécurité ont identifié une nouvelle porte dérobée (backdoor) sophistiquée nommée MystRodX, également connue sous le nom de ChronosRAT. Cette menace, développée en C++, se distingue par ses capacités avancées en matière de furtivité et de flexibilité pour l’espionnage cybernétique. Elle permet la gestion de fichiers, le transfert de ports, l’exécution de shells inversés et la gestion de sockets, tout en utilisant plusieurs niveaux de chiffrement pour dissimuler son code source et ses charges utiles.

Sa particularité réside dans son “mode veille” qui lui permet de rester inactif jusqu’à réception de paquets réseau spécialement conçus via les protocoles DNS ou ICMP. Cette méthode est plus discrète que celle de certaines portes dérobées connues qui manipulent les champs d’en-tête TCP.

MystRodX est distribué via un dropper qui effectue des vérifications pour détecter les environnements de débogage ou virtualisés avant de déchiffrer la charge utile de deuxième étape. Celle-ci comprend trois composants : daytime (lanceur), chargen (la porte dérobée elle-même) et busybox. Le composant chargen surveille en permanence le processus daytime et le relance si nécessaire.

La configuration de MystRodX, chiffrée par AES, contient des informations cruciales telles que le serveur de commande et de contrôle (C2), le type de backdoor et les ports C2 principaux et de secours. En fonction du paramètre “Backdoor Type”, MystRodX peut opérer en mode actif, établissant une connexion directe avec le serveur C2, ou en mode passif, attendant un signal d’activation. Les preuves suggèrent que cette menace pourrait être active depuis au moins janvier 2024.

Points clés :

• Nom : MystRodX (également ChronosRAT)
• Langage : C++
• Fonctionnalités : Gestion de fichiers, port forwarding, reverse shell, gestion de sockets, espionnage de données.
• Techniques de furtivité : Multiples niveaux de chiffrement, utilisation de DNS et ICMP pour l’activation (mode passif).
• Distribution : Dropper avec vérifications d’environnement (débogage, virtualisation).
• Composants : daytime, chargen, busybox.
• Configuration : Chiffrée par AES, contient les informations du serveur C2.
• Modes de fonctionnement : Actif (connexion directe au C2) et Passif (attente d’activation via DNS/ICMP).
• Activité suspectée : Depuis au moins janvier 2024.
• Association : Relie à un groupe d’espionnage cybernétique d’origine chinoise (Liminal Panda) via le cluster d’activité CL-STA-0969.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est mentionnée dans cet article. La menace réside dans les fonctionnalités de la porte dérobée elle-même et ses méthodes d’évasion.

Recommandations :

Bien que l’article ne détaille pas de recommandations spécifiques pour les utilisateurs finaux, les mesures générales de cybersécurité sont implicitement suggérées, notamment :

• Surveillance du trafic réseau : Être attentif aux communications suspectes impliquant les protocoles DNS et ICMP qui ne correspondent pas aux activités normales.
• Mises à jour et correctifs : Maintenir les systèmes d’exploitation et les logiciels à jour pour atténuer les vulnérabilités connues qui pourraient être exploitées pour la livraison initiale.
• Solutions de sécurité avancées : Utiliser des antivirus, des systèmes de détection d’intrusion (IDS/IPS) et des pare-feux capables de détecter des comportements malveillants et des communications C2 inhabituelles.
• Analyse de comportement : Surveiller les processus inhabituels ou les activités système suspectes, en particulier celles liées aux nouveaux exécutables ou aux changements de configuration non autorisés.
• Connaissance des menaces : Se tenir informé des nouvelles techniques d’attaque pour mieux anticiper et contrer les menaces émergentes.

Source