Multi-Stage VOID#GEIST Malware Delivering XWorm, AsyncRAT, and Xeno RAT

1 minute de lecture

Mis à jour : March 06, 2026

VOID#GEIST : Une campagne de logiciels malveillants multi-étapes furtive

La campagne VOID#GEIST déploie une chaîne d’attaque sophistiquée et modulaire utilisant des scripts batch et des environnements Python légitimes pour diffuser des RAT (Remote Access Trojans) : XWorm, AsyncRAT et Xeno RAT.

Points clés :

Furtivité accrue : Le malware privilégie une exécution “fileless” (en mémoire) en utilisant des scripts batch pour l’orchestration et PowerShell pour le déploiement.
Leurre visuel : L’exécution initiale affiche un faux document PDF (facture/document financier) via Chrome pour masquer l’activité malveillante en arrière-plan.
Environnement autonome : Le malware télécharge un interpréteur Python légitime, lui permettant de s’exécuter sans dépendre des composants système préinstallés.
Persistance discrète : L’utilisation du répertoire “Démarrage” (Startup) de Windows évite de modifier les registres système ou de créer des services, minimisant ainsi les traces forensiques.
Communication : Utilisation de domaines TryCloudflare pour la distribution des charges utiles et les communications avec le serveur C2.

Vulnérabilités exploitées :

Technique d’injection : Early Bird Asynchronous Procedure Call (APC) injection (MITRE T1055.004). Cette méthode permet d’injecter du code malveillant directement dans des instances légitimes de explorer.exe avant le démarrage complet des processus, rendant la détection complexe.
Note : Aucune CVE spécifique n’est mentionnée, l’attaque repose sur le détournement d’outils légitimes (Living-off-the-Land).

Recommandations :

Surveillance comportementale : Surveiller les injections répétées de processus dans explorer.exe sur une courte période.
Analyse des scripts : Auditer l’exécution de scripts PowerShell et batch, particulièrement ceux utilisant des paramètres masqués (-WindowStyle Hidden).
Contrôle du répertoire de démarrage : Restreindre ou surveiller les écritures dans le dossier Startup des utilisateurs.
Filtrage réseau : Bloquer les accès aux domaines ou sous-domaines non essentiels liés aux services de tunnelisation (ex: *.trycloudflare.com) s’ils ne sont pas nécessaires aux activités métier.
Détection d’anomalies Python : Surveiller l’exécution de binaires Python à partir de répertoires utilisateur inhabituels ou de dossiers temporaires.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Multi-Stage VOID#GEIST Malware Delivering XWorm, AsyncRAT, and Xeno RAT

VOID#GEIST : Une campagne de logiciels malveillants multi-étapes furtive

Partager sur

Vous pourriez aimer

Wikipedia hit by self-propagating JavaScript worm that vandalized pages

Propagation d’un ver JavaScript sur Wikipédia

Transparent Tribe Uses AI to Mass-Produce Malware Implants in Campaign Targeting India

L’industrialisation des cyberattaques par l’IA : La menace “Vibeware”

The MSP Guide to Using AI-Powered Risk Management to Scale Cybersecurity

Optimiser la gestion des risques par l’IA pour les MSP

Microsoft Reveals ClickFix Campaign Using Windows Terminal to Deploy Lumma Stealer

Campagne ClickFix : Exploitation du terminal Windows pour le déploiement de Lumma Stealer