Microsoft a découvert un nouveau cheval de Troie d'accès à distance (RAT), baptisé StilachiRAT, qui utilise des techniques sophistiquées pour éviter la détection.
En novembre 2024, des chercheurs de Microsoft ont identifié StilachiRAT, un cheval de Troie d'accès à distance (RAT) avancé conçu pour la furtivité, la persistance et le vol de données. L’analyse de son module WWStartupCtrl64.dll a révélé que ce malware possède des fonctionnalités sophistiquées permettant de voler des identifiants enregistrés dans les navigateurs, des données de portefeuilles numériques, le contenu du presse-papiers et des informations système. Les chercheurs ont souligné que StilachiRAT emploie des méthodes avancées d’évasion.
Microsoft n’a pas encore attribué ce malware à un acteur de menace ou à une localisation géographique spécifique. Cependant, le géant de l’informatique estime qu’il n’est pas encore largement répandu.
« StilachiRAT collecte un grand nombre d’informations système, notamment les détails du système d’exploitation, les identifiants de l’appareil, les numéros de série du BIOS et la présence d’une caméra », indique l’analyse publiée par Microsoft. « Les informations sont collectées via les interfaces Component Object Model (COM) et Web-Based Enterprise Management (WBEM) à l’aide du WMI Query Language (WQL). »
Le RAT maintient sa persistance à l’aide du gestionnaire de contrôle des services Windows (SCM) et utilise des threads de surveillance qui lui permettent de se réinstaller automatiquement s'il est supprimé.
Vol de portefeuilles numériques et informations de connexion
Une fois déployé, StilachiRAT analyse les données de configuration de dizaines d’extensions de portefeuilles de cryptomonnaies pour voler des actifs numériques. Le malware cible notamment les extensions suivantes :
Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal, Plug.
StilachiRAT est également capable d’extraire la clé de chiffrement encrypted_encryption_key de Google Chrome et de la décrypter à l’aide des API Windows pour accéder aux identifiants stockés. Il récupère les données de connexion depuis les bases de données SQLite et les transmet à l’attaquant.
Le malware communique avec un serveur de Command & Control (C2) via des domaines obscurcis et des adresses IP au format binaire, en utilisant des ports TCP aléatoires (53, 443 ou 16 000). Pour éviter la détection, il retarde sa connexion de deux heures et se ferme automatiquement si tcpview.exe est détecté. Une fois connecté, il envoie à l’attaquant la liste des fenêtres actives.
Espionnage des sessions RDP et persistance
StilachiRAT surveille les sessions RDP (Remote Desktop Protocol) pour détecter les fenêtres actives et l’usurpation d’identité de l’utilisateur, ce qui lui permet d’effectuer des mouvements latéraux dans le système infecté.
Pour échapper aux analyses de sécurité, le malware efface les journaux, détecte la présence d’outils d’analyse et obscurcit ses appels aux API Windows. Il encode les noms d’API sous forme de checksums et les résout dynamiquement à l’exécution tout en utilisant des tables de recherche masquées par XOR pour compliquer l’analyse.
Exécution des commandes malveillantes
Le RAT peut exécuter divers commandes C2, notamment :
SOURCES
https://securityaffairs.com/175530/malwa...ction.html
https://www.microsoft.com/en-us/security...ncy-theft/
https://thehackernews.com/2025/03/micros...althy.html
https://coincentral.com/microsoft-identi...o-wallets/
En novembre 2024, des chercheurs de Microsoft ont identifié StilachiRAT, un cheval de Troie d'accès à distance (RAT) avancé conçu pour la furtivité, la persistance et le vol de données. L’analyse de son module WWStartupCtrl64.dll a révélé que ce malware possède des fonctionnalités sophistiquées permettant de voler des identifiants enregistrés dans les navigateurs, des données de portefeuilles numériques, le contenu du presse-papiers et des informations système. Les chercheurs ont souligné que StilachiRAT emploie des méthodes avancées d’évasion.
Microsoft n’a pas encore attribué ce malware à un acteur de menace ou à une localisation géographique spécifique. Cependant, le géant de l’informatique estime qu’il n’est pas encore largement répandu.
« StilachiRAT collecte un grand nombre d’informations système, notamment les détails du système d’exploitation, les identifiants de l’appareil, les numéros de série du BIOS et la présence d’une caméra », indique l’analyse publiée par Microsoft. « Les informations sont collectées via les interfaces Component Object Model (COM) et Web-Based Enterprise Management (WBEM) à l’aide du WMI Query Language (WQL). »
Le RAT maintient sa persistance à l’aide du gestionnaire de contrôle des services Windows (SCM) et utilise des threads de surveillance qui lui permettent de se réinstaller automatiquement s'il est supprimé.
Vol de portefeuilles numériques et informations de connexion
Une fois déployé, StilachiRAT analyse les données de configuration de dizaines d’extensions de portefeuilles de cryptomonnaies pour voler des actifs numériques. Le malware cible notamment les extensions suivantes :
Bitget Wallet, Trust Wallet, TronLink, MetaMask, TokenPocket, BNB Chain Wallet, OKX Wallet, Sui Wallet, Braavos – Starknet Wallet, Coinbase Wallet, Leap Cosmos Wallet, Manta Wallet, Keplr, Phantom, Compass Wallet for Sei, Math Wallet, Fractal Wallet, Station Wallet, ConfluxPortal, Plug.
StilachiRAT est également capable d’extraire la clé de chiffrement encrypted_encryption_key de Google Chrome et de la décrypter à l’aide des API Windows pour accéder aux identifiants stockés. Il récupère les données de connexion depuis les bases de données SQLite et les transmet à l’attaquant.
Le malware communique avec un serveur de Command & Control (C2) via des domaines obscurcis et des adresses IP au format binaire, en utilisant des ports TCP aléatoires (53, 443 ou 16 000). Pour éviter la détection, il retarde sa connexion de deux heures et se ferme automatiquement si tcpview.exe est détecté. Une fois connecté, il envoie à l’attaquant la liste des fenêtres actives.
Espionnage des sessions RDP et persistance
StilachiRAT surveille les sessions RDP (Remote Desktop Protocol) pour détecter les fenêtres actives et l’usurpation d’identité de l’utilisateur, ce qui lui permet d’effectuer des mouvements latéraux dans le système infecté.
Pour échapper aux analyses de sécurité, le malware efface les journaux, détecte la présence d’outils d’analyse et obscurcit ses appels aux API Windows. Il encode les noms d’API sous forme de checksums et les résout dynamiquement à l’exécution tout en utilisant des tables de recherche masquées par XOR pour compliquer l’analyse.
Exécution des commandes malveillantes
Le RAT peut exécuter divers commandes C2, notamment :
- Redémarrage du système,
- Suppression des journaux,
- Vol d’identifiants,
- Exécution d’applications,
- Modification du registre,
- Affichage de boîtes de dialogue,
- Établissement ou acceptation de connexions réseau,
- Auto-termination,
- Mise en veille du système,
- Énumération des fenêtres ouvertes.
SOURCES
https://securityaffairs.com/175530/malwa...ction.html
https://www.microsoft.com/en-us/security...ncy-theft/
https://thehackernews.com/2025/03/micros...althy.html
https://coincentral.com/microsoft-identi...o-wallets/
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
