Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems

1 minute de lecture

Mis à jour : September 10, 2025

Une nouvelle menace chinoise infiltre les systèmes militaires philippins

Un groupe de menaces persistantes avancées (APT) d’origine chinoise est responsable de l’infiltration d’une entreprise militaire basée aux Philippines. L’attaque utilise un cadre malveillant inédit, fonctionnant sans fichier et baptisé “EggStreme”. Ce dernier, conçu pour espionner discrètement, injecte du code directement en mémoire et exploite le chargement de DLL (DLL sideloading) pour exécuter ses charges utiles.

Points clés :

Nature fileless : Le malware s’exécute en mémoire, rendant sa détection sur disque difficile.
Architecture multi-étapes : Le processus d’infection comprend plusieurs phases, débutant par “EggStremeFuel”, suivi de “EggStremeLoader”, “EggStremeReflectiveLoader”, et enfin “EggStremeAgent”.
Fonctionnalités avancées : L’agent principal, “EggStremeAgent”, agit comme une porte dérobée complète. Il permet la reconnaissance système, le mouvement latéral, le vol de données via un enregistreur de frappe (keylogger), et communique avec un serveur de commande et contrôle (C2) en utilisant le protocole gRPC.
Détournement de binaires légitimes : Les attaquants utilisent des binaires légitimes pour charger des DLL malveillantes, une technique courante dans leur chaîne d’attaque.
Implant auxiliaire : “EggStremeWizard” offre un accès shell inversé et des capacités de téléchargement/téléversement de fichiers.
Résilience et furtivité : La conception intègre plusieurs serveurs C2 pour assurer la continuité de la communication, et l’utilisation de l’utilitaire proxy “Stowaway” renforce l’emprise interne.

Vulnérabilités exploitées :

Aucune vulnérabilité spécifique (CVE) n’est mentionnée explicitement dans l’article. L’article souligne cependant l’exploitation de la technique de “DLL sideloading” et le détournement de binaires légitimes.

Recommandations :

L’article ne fournit pas de recommandations spécifiques, mais il met en évidence la sophistication de la menace par son approche fileless, son architecture multi-étapes, l’utilisation du DLL sideloading, et la communication via gRPC. Ces éléments suggèrent la nécessité de solutions de sécurité avancées capables de détecter les comportements anormaux en mémoire et de surveiller les processus suspects.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Chinese APT Deploys EggStreme Fileless Malware to Breach Philippine Military Systems

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast