Executive Summary

Insikt Group a identifié une nouvelle infrastructure associée à GrayAlpha, un acteur malveillant qui recoupe le groupe à motivation financière communément appelé FIN7. Cette infrastructure nouvellement identifiée comprend des domaines utilisés pour la distribution de charges utiles et des adresses IP supplémentaires que l'on pense liées à GrayAlpha. Insikt Group a découvert un chargeur PowerShell personnalisé nommé PowerNet, qui décompresse et exécute NetSupport RAT. Insikt Group a identifié un autre chargeur personnalisé, appelé MaskBat, qui présente des similitudes avec FakeBat, mais est obscurci et contient des chaînes liées à GrayAlpha. Dans l'ensemble, Insik Group a identifié trois principales méthodes d'infection : de fausses pages de mise à jour de navigateur, de faux sites de téléchargement de 7-Zip et le système de distribution de trafic (TDS) TAG-124. Notamment, l'utilisation du TAG-124 n'avait pas été documentée publiquement avant la publication de ce rapport. Bien que les trois vecteurs d'infection aient été utilisés simultanément, seules les fausses pages de téléchargement 7-Zip étaient encore actives au moment de la rédaction de ce rapport, avec des domaines nouvellement enregistrés apparus pas plus tard qu'en avril 2025. Une analyse plus approfondie de ces sites a conduit à l'identification d'une personne qui pourrait être impliquée dans l'opération GrayAlpha.

À court terme, il est conseillé aux défenseurs d'appliquer des listes d'autorisation d'applications pour bloquer le téléchargement de fichiers apparemment légitimes contenant des malwares. Lorsque les listes d'autorisation ne sont pas pratiques, une formation complète des employés à la sécurité devient essentielle, en particulier pour reconnaître les comportements suspects tels que les demandes inattendues de mises à jour du navigateur ou les redirections causées par la publicité malveillante. En outre, l'utilisation de règles de détection, telles que les règles YARA et les requêtes Malware Intelligence Hunting présentées dans ce rapport, est essentielle pour identifier les infections existantes et passées. Ces règles doivent être mises à jour fréquemment et étayées par des techniques de détection plus larges, notamment la surveillance des artefacts du réseau et l'utilisation de Recorded Future Network Intelligence, en raison de la nature en constante évolution des malwares.

À l'avenir, les défenseurs doivent surveiller l'ensemble de l'écosystème cybercriminel afin d'anticiper les nouvelles menaces et d'y répondre plus efficacement. La professionnalisation continue de la cybercriminalité augmente la probabilité que des organisations de différents secteurs soient ciblées. Cette tendance est due à la rentabilité soutenue de la cybercriminalité, à la collaboration internationale limitée en matière d'application de la loi et à l'évolution constante des technologies de sécurité qui, à leur tour, stimulent l'innovation parmi les acteurs malveillants. Alors que les activités liées aux menaces persistantes avancées (APT) sont souvent liées à des entités parrainées par l'État, GrayAlpha montre que les groupes cybercriminels peuvent faire preuve d'un niveau de persévérance similaire. À l'instar du modèle RaaS (ransomware-as-a-service), les cybercriminels deviennent de plus en plus spécialisés et collaboratifs, ce qui rend impératif l'adoption d'une posture de sécurité complète et adaptative.

Key Findings

• Insikt Group a identifié une nouvelle infrastructure liée à GrayAlpha, un acteur malveillant recoupe le groupe communément appelé FIN7, y compris des domaines utilisés pour la distribution de la charge utile et des adresses IP supplémentaires considérées comme faisant partie de l'infrastructure de l'acteur malveillant.
• Insikt Group a identifié un nouveau chargeur PowerShell personnalisé baptisé PowerNet qui décompresse et exécute NetSupport RAT.
• Insikt Group a identifié un autre chargeur personnalisé, appelé MaskBat, qui présente des similitudes avec FakeBat, mais est obscurci et contient des chaînes liées à GrayAlpha.
• Insikt Group a identifié trois principaux vecteurs d'infection associés à GrayAlpha : les fausses pages de mise à jour du navigateur, les faux sites de téléchargement de 7-Zip et le réseau TDS TAG-124. Il est à noter que l'utilisation du mécanisme de distribution TDS TAG-124 n'avait pas été documentée publiquement avant ce rapport.
• Bien que les trois méthodes d'infection aient été employées simultanément, seules les fausses pages de téléchargement 7-Zip semblent rester actives au moment de la rédaction de ce document, les domaines les plus récents ayant fait leur apparition en avril 2025.
• Grâce à l'analyse des pages 7-Zip, Insikt Group a identifié un individu qui pourrait être lié à l'opération GrayAlpha.

Background

GrayAlpha est un groupe d'acteurs malveillants qui recoupe le groupe de cybercriminels motivés par des raisons financières, connu sous le nom de FIN7, qui partage une infrastructure, des outils et des savoir-faire clés.

FIN7 est actif depuis au moins 2013 et est considéré comme l'un des groupes cybercriminels les plus prolifiques et les plus sophistiqués sur le plan technique ciblant des organisations du monde entier. Le groupe est organisé comme une entreprise professionnelle, avec des équipes compartimentées chargées du développement des malwares, des opérations de phishing, du blanchiment d'argent et de la gestion. FIN7 est principalement connu pour ses campagnes à motivation financière impliquant le vol de données de cartes de paiement et l'accès non autorisé à des réseaux d'entreprise, en particulier dans les secteurs de la vente au détail, de l'hôtellerie et de la finance.

En 2018, le ministère américain de la Justice (DOJ) a dévoilé les actes d'accusation visant trois membres de haut rang du FIN7, Dmytro Fedorov, Fedir Hladyr et Andrii Kolpakov, mettant en lumière les nombreuses opérations menées par le groupe contre des entreprises dans 47 États américains et dans de nombreux pays. Opérant sous le nom d'une société fictive de cybersécurité, « Combi Security », FIN7 a tiré parti de l'ingénierie sociale et de malwares personnalisés, y compris des variantes de Carbanak, la porte dérobée développée en interne par le groupe, pour compromettre des milliers de systèmes de points de vente et exfiltrer plus de 15 millions d'enregistrements de cartes de paiement. Les poursuites engagées par le ministère de la Justice américain ont révélé la structure de commandement hiérarchique du groupe, dont les membres jouent des rôles bien définis en matière d'opérations d'intrusion, d'administration des malwares et de coordination logistique. Malgré l'interruption de son leadership, l'infrastructure sous-jacente et le savoir-faire de FIN7 ont persisté, permettant à l'entreprise criminelle plus large de continuer à cibler des organisations mondiales.

FIN7 utilise une gamme de malwares et d'outils personnalisés et réutilisés pour soutenir ses opérations. Le groupe obtient généralement un accès initial par le biais d'e-mails de spearphishing contenant des pièces jointes malveillantes ou des liens hébergés sur des sites compromis, souvent associés à du callback phishing pour gagner en crédibilité. Les premières opérations de FIN7 s'appuyaient sur sa porte dérobée Carbanak, alors propriétaire, comme principal cadre de commande et de contrôle, permettant au groupe de gérer les hôtes compromis et de coordonner les activités postérieures à la compromission. POWERTRASH, un chargeur en mémoire, basé sur PowerShell et dissimulé de manière unique, adapté du cadre PowerSploit, a également été une caractéristique constante des intrusions de FIN7, utilisé pour déployer des charges utiles telles que DiceLoader et des implants Core Impact fissurés pour soutenir l'exploitation, le mouvement latéral et la persistance. FIN7 a également développé AuKill (également connu sous le nom d'AvNeutralizer), un utilitaire d'évasion EDR personnalisé conçu pour désactiver les solutions de sécurité des points de terminaison, qui a ensuite été signalé comme ayant été proposé à la vente par le groupe sur des places de marché criminelles. Dans ses campagnes les plus récentes, FIN7 a été observé en train de déployer la porte dérobée Anubis basée sur Python, qui fournit un contrôle complet du système via une exécution en mémoire et communique avec son infrastructure de commande et de contrôle à l'aide de données codées en Base64.

En 2023, FIN7 a étendu ses activités au déploiement de ransomware en s'affiliant à des groupes RaaS tels que REvil et Maze, tout en gérant ses propres programmes RaaS, notamment Darkside et BlackMatter, aujourd'hui retirés du service. Plus récemment, FIN7 a été observé en train d'exploiter le RAT NetSupport intégré dans des paquets d'application MSIX malveillants, distribués via de faux sites de mise à jour et de la publicité malveillante.

Threat Analysis

Vecteurs d'infection

Au cours de l'année écoulée, Insikt Group a identifié trois vecteurs d'infection distincts associés à GrayAlpha, observés au cours de périodes qui se chevauchent, et qui aboutissent tous à des infections par le RAT NetSupport. Ces vecteurs incluent :

• Vecteur d'infection 1 : fausses mises à jour de logiciels se faisant passer pour des produits légitimes tels que Concur
• Vecteur d'infection 2 : pages de téléchargement malveillantes de 7-Zip
• Vecteur d’infection 3 : Utilisation du TAG-124 TDS

Lors de ces campagnes, GrayAlpha a utilisé deux principaux types de chargeurs PowerShell : un script personnalisé autonome appelé PowerNet et un chargeur dynamique, une variante personnalisée de FakeBat, appelé MaskBat (voir la figure 1).

Vecteur d'infection 1 : fausses mises à jour de navigateur

Infrastructure Analysis

Depuis au moins avril 2024, GrayAlpha a été observé en train d'utiliser de faux sites web de mise à jour de navigateur dans le cadre de ses opérations. Ces sites usurpent l'identité d'une série de produits et de services légitimes, dont Google Meet, LexisNexis, Asana, AIMP, SAP Concur, CNN, le Wall Street Journal et Advanced IP Scanner, pour n'en citer que quelques-uns. Le tableau 1 fournit une liste des domaines associés au vecteur d'infection 1 qui n'avaient pas encore été résolus en 2025. Cependant, il est important de noter que la résolution active du domaine n'indique pas nécessairement une utilisation continue par les acteurs malveillants. En fait, le domaine le plus récemment observé a commencé à être résolu en septembre 2024. Une liste complète de tous les domaines liés au vecteur d'infection 1, y compris ceux qui n'ont pas été résolus en 2025, figure à l'annexe A.

Table 1: Domains linked to Infection Vector 1 still resolving as of 2025 (Source: Recorded Future)

Fake update websites often use the same script designed to fingerprint the host system, consisting of the functions getIPAddress() and trackPageOpen(). As previously reported, these scripts usually send a POST request to a CDN-themed domain, such as cdn40[.]click (see Figure 2). These domains typically begin with "cdn" followed by a random number and a top-level domain (TLD). The malicious payload is commonly delivered via the /download.php endpoint. However, Insikt Group has also identified variations, including /download/download.php, download2.php, and product-specific paths (such as /download/aimp_5.30.2541_w64-release.exe). Additionally, in at least one case, the threat actors appeared to use a compromised domain — worshipjapan[.]com — for fingerprinting purposes. This activity was observed on a website associated with the domain as4na[.]com.

Notamment, alors que la plupart des domaines associés au vecteur d'infection 1 sont conçus pour usurper l'identité de logiciels légitimes, certains semblent être générés de manière aléatoire ou arbitraire. Citons teststeststests003202[.]shop, qui est associé à l'adresse e-mail kasalboov@web[.]de, selon le registre WHOIS. Ce même email est également lié à des domaines tels que lexisnexis[.]pro, aimp[.]xyz, concur[.]life, cdn3535[.]shop, et cdn251[.]lol. D'autres anomalies incluent des domaines tels que gogogononono[.]en haut et gogogononono[.]xyz, tous deux hébergés à l'adresse IP 103[.]35[.]190[.]40, qui héberge également lexisnexis[.]lat.

Activité précédente de FIN7 utilisant un faux scanner IP avancé

Bien que les premiers domaines liés à GrayAlpha et portant le nom « Advanced IP Scanner », comme indiqué dans ce rapport, aient commencé à être résolus début 2024 (voir figure 3), Insikt Group avait déjà observé FIN7 utiliser un faux domaine Advanced IP Scanner pour compromettre ses victimes dès le second semestre 2023. Plus précisément, au cours d'une brève période à la fin du mois de septembre 2023, Insikt Group a identifié plus de 212 systèmes infectés communiquant avec un serveur C2 de Carbanak contrôlé par FIN7 166[.]1[.]160[.]118 sur le port TCP 443. Alors que cette activité a été initialement attribuée à l'exploitation d'une chaîne de vulnérabilité d'une journée, une analyse ultérieure a révélé que les infections étaient plutôt liées au domaine typosquatté advanced-ip-sccanner[.]com qui était hébergé par Cloudflare à l'époque.

Analyse de l'hébergement

La grande majorité des domaines associés au vecteur d'infection 1 ont été résolus vers une infrastructure exploitée par l'hébergeur à toute épreuve Stark Industries Solutions (AS44477), avec un hébergement supplémentaire observé sur AS29802 (HIVELOCITY, Inc.) et AS41745 (FORTIS-AS) (voir la figure 4). Notamment, l'infrastructure au sein de AS29802 était constituée d'un espace IP contrôlé par l'hébergeur à toute épreuve 3NT Solutions LLP et annoncé via HIVELOCITY. L'infrastructure d'hébergement d'Infection Vector 2 est principalement concentrée au sein de l'AS41745, comme indiqué plus en détail dans la section Infection Vector 2: 7-Zip Impersonation de ce rapport.

FORTIS-AS (AS41745), communément référencé par son organisation responsable, « Baykov Ilya Sergeevich » (ORG-HIP1-RIPE), a été utilisé à plusieurs reprises dans des activités liées à FIN7. En plus de l'infrastructure liée à Stark Industries Solutions, FORTIS-AS a hébergé une infrastructure utilisée pour déployer des familles de malwares tels que POWERTRASH et DiceLoader, tous deux directement associés aux opérations du FIN7.

Selon le registre WHOIS pour le bloc d'adresses 85[.]209[.]134[.]0/24, qui est utilisé par GrayAlpha, le bloc est attribué à Baykov Ilya Sergeevich (ORG-HIP1-RIPE). Cette entité est étroitement liée au fournisseur de services d'infrastructure (ISP) « hip-hosting », avec de multiples points de contact et références techniques, y compris des domaines tels que fortis[.]host et hip-hosting[.]com apparaissant tout au long de l'enregistrement (voir Figure 5).

Insikt Group évalue avec une grande confiance que « hip-hosting » est le FAI derrière l'entité « Baykov Ilya Sergeevich » (ORG-HIP1-RIPE). Cette évaluation est étayée par de multiples points de données corroborants contenus dans l'enregistrement WHOIS et dans l'objet RIPE ORG pour ORG-HIP1-RIPE.

To read the entire analysis, click here to download the report as a PDF.