L'infrastructure TDS multicouche de TAG-124 et sa vaste base d'utilisateurs

Date limite d'analyse : 7 janvier 2025

NOTE: This report was updated on May 12, 2025, after it was discovered that TAG-124 is unrelated to 404TDS. All references to 404TDS as an alias belonging to TAG-124 have been removed.

Executive Summary

Insikt Group has identified multi-layered infrastructure linked to a traffic distribution system (TDS) tracked by Recorded Future as TAG-124, which overlaps with threat activity clusters known as LandUpdate808, KongTuke, and Chaya_002. TAG-124 comprises a network of compromised WordPress sites, actor-controlled payload servers, a central server, a suspected management server, an additional panel, and other components. The threat actors behind TAG-124 demonstrate high levels of activity, including regularly updating URLs embedded in the compromised WordPress sites, adding servers, refining TDS logic to evade detection, and adapting infection tactics, as demonstrated by their recent implementation of the ClickFix technique.

Insikt Group a identifié de nombreux acteurs malveillants utilisant le TAG-124 dans leurs chaînes d'infection initiales, notamment les opérateurs du ransomware Rhysida, du ransomware Interlock, du TA866/Asylum Ambuscade, de SocGholish, du D3F @CK Loader, du TA582 et d'autres. L'utilisation partagée du TAG-124 renforce notamment le lien entre les ransomwares Rhysida et Interlock, qui sont déjà liés par des similitudes en termes de tactiques, d'outils, de comportements de chiffrement, de thèmes de demande de rançon, de chevauchements de code et de techniques d'exfiltration de données. Insikt Group s'attend à ce que TAG-124 continue ses opérations dans l'écosystème cybercriminel de plus en plus sophistiqué et spécialisé, améliore son efficacité et attire de nouveaux utilisateurs et partenaires.

Key Findings

• Insikt Group a identifié une infrastructure à plusieurs niveaux liée à un TDS suivi sous le nom de TAG-124. Cette infrastructure comprend, entre autres, un réseau de sites WordPress compromis, des serveurs de charges utiles probablement contrôlés par des acteurs, un serveur central, un serveur de gestion présumé et un panneau supplémentaire.
• Le ou les acteurs malveillants associés à TAG-124 semblent très actifs, mettant régulièrement à jour les URL sur les sites WordPress compromis pour échapper à la détection, ajoutant de nouveaux serveurs à leur infrastructure et améliorant la logique conditionnelle liée à TDS ainsi que les tactiques d'infection.
• De nombreux acteurs malveillants sont évalués afin d'intégrer le service du TAG-124 à leurs chaînes d'infection initiales, notamment les opérateurs du ransomware Rhysida, du ransomware Interlock, du TA866/Asylum Ambuscade, de SocGholish, du D3F @CK Loader, du TA582, etc.
• Bien que les ransomwares Rhysida et Interlock soient associés l'un à l'autre en raison de leurs similitudes en termes de tactiques, d'outils, de comportements de chiffrement, de thèmes relatifs aux demandes de rançon, de chevauchements de code et de techniques d'exfiltration de données, l'utilisation partagée du TAG-124 renforce ce lien.

Background

TAG-124, which overlaps with LandUpdate808, KongTuke, and Chaya_002, is a TDS used to distribute malware on behalf of various threat actors, including operators of Rhysida ransomware, Interlock ransomware, TA866/Asylum Ambuscade, SocGholish, D3F@CK Loader, and TA582, among others (1, 2, 3). A TDS typically refers to a system used to analyze and redirect web traffic based on parameters like geolocation or device type, funneling only specific visitors to malicious destinations such as phishing sites, malware, or exploit kits, while evading detection and optimizing cybercriminal campaigns.

Plus précisément, TAG-124 fonctionne en injectant du code JavaScript malveillant dans des sites WordPress compromis. Lorsque les visiteurs accèdent à un site web infecté, ils chargent à leur insu des ressources contrôlées par l'attaquant, conçues pour les manipuler afin qu'ils accomplissent des actions aboutissant au téléchargement et à l'exécution de malware. TAG-124 trompe souvent les victimes en présentant le malware comme une mise à jour requise du navigateur Google Chrome.

Dans des variations plus récentes, TAG-124 a été observé en utilisant la technique ClickFix. Cette méthode affiche une boîte de dialogue qui invite les visiteurs à exécuter une commande déjà copiée dans leur presse-papiers. Lorsqu'un visiteur exécute la commande, cela initie un processus en plusieurs étapes qui télécharge et exécute la charge utile du malware.

Threat Analysis

TAG-124

Insikt Group identified multi-layered infrastructure associated with the TDS TAG-124. This infrastructure comprises a network of compromised WordPress sites, likely actor-controlled payload servers, a central server whose exact purpose remains unclear at the time of analysis, a suspected management server, and an additional management panel. If visitors fulfill specific criteria, the compromised WordPress websites display fake Google Chrome update landing pages, which ultimately lead to malware infections as discussed in the Users of TAG-124 section of this report (see Figure 1).

Figure 1 : Configuration de haut niveau de l'infrastructure de TAG-124 (Source : Recorded Future)

Sites WordPress compromis

L'infrastructure de TAG-124 consiste en un vaste réseau de sites web WordPress (voir l'annexe A). Ces sites web semblent manquer d'un thème cohérent en matière d'industrie, de sujet ou de géographie, ce qui suggère qu'ils ont probablement été compromis de manière opportuniste par des exploits ou par l'acquisition de données d'identification, telles que celles obtenues via des infostealers.

Sites web WordPress de première étape en livraison initiale

The compromised websites of the first stage in the initial delivery phase typically include a script tag with an async attribute at an arbitrary location in the document object model (DOM), enabling the loading of an external JavaScript file in parallel with the page to avoid rendering delays (see Figure 2).

Figure 2 : Balise de script dans le DOM utilisée pour charger un fichier JavaScript externe (Source : URLScan)

Le nom du fichier JavaScript a souvent changé au fil du temps, les premiers noms suivant des schémas reconnaissables (comme metrics.js) et les plus récents semblent être formatés de manière aléatoire (comme hpms1989.js). Exemples de noms de fichiers :

• 3561.js
• 365h.js
• e365r.js
• hpms1989.js
• metrics.js
• nazvanie.js
• web-analyzer.js
• web-metrics.js
• web.js
• wp-config.js
• wp.js

Il est à noter que les acteurs malveillants semblent mettre à jour régulièrement les URL sur les sites web compromis. Par exemple, le site web associé à www[.]ecowas[.]int a régulièrement changé l'URL utilisée pour récupérer le fichier JavaScript. Ce comportement indique que les acteurs malveillants conservent un accès permanent à ces sites WordPress et modifient fréquemment les URL, y compris le domaine et le nom de fichier JavaScript, afin d'échapper à la détection.

Bien que de nombreux sites web WordPress compromis semblent être associés à des organisations moins connues, Insikt Group a identifié des cas notables, notamment un sous-domaine lié au Centre polonais de test et de certification, www[.]pcbc[.]gov[.]pl, et le domaine de la Communauté économique des États de l'Afrique de l'Ouest (CEDEAO) (www[.]ecowas[.]int). Tous deux ont été compromis et utilisés dans des campagnes TAG-124.

Sites web WordPress de dernière étape en livraison initiale

Si les visiteurs répondent à des critères spécifiques, qui n'ont pas pu être entièrement déterminés, les domaines WordPress compromis présentent généralement de fausses pages de destination de Google Chrome. Ces pages incitent les utilisateurs à cliquer sur un bouton de téléchargement, ce qui déclenche le téléchargement de la charge utile réelle à partir de terminaux désignés sur un ensemble secondaire de sites WordPress compromis, y compris, mais probablement pas limité à :

• /wp-admin/images/wfgth.php
• /wp-includes/pomo/update.php
• /wp-content/upgrade/update.php
• /wp-admin/images/rsggj.php

Pages de destination de fausses mises à jour de Google Chrome

Insikt Group a découvert deux variantes de fausses pages d'atterrissage de mise à jour de Google Chrome associées à TAG-124 (voir figure 3). Selon les données de soumission d'URLScan, la variante 1 est active depuis plus longtemps, sa première soumission ayant été enregistrée le 24 avril 2024.

Figure 3 : Fausse mise à jour de Google Chrome, variante 1 (à gauche) et 2 (à droite) (Source : URLScan, URLScan)

Seules les victimes répondant à un ensemble de conditions encore inconnues sont redirigées vers la fausse page de destination de la mise à jour de Google Chrome, ce qui ne permet d'observer qu'un nombre limité de domaines (voir Tableau 1). Ces domaines peuvent être attribués à TAG-124 sur la base des URL intégrées dans le DOM, des rapports publics ou d'autres indicateurs. Notamment, les acteurs malveillants écrivent systématiquement le mot « referer » comme « refferer » dans le paramètre de requête, une faute de frappe constatée dans des rapports antérieurs.

Tableau 1 : sites web probablement compromis hébergeant de fausses pages de mise à jour de Google Chrome (Source : Recorded Future)

Domaine probablement détenu par un acteur de la menace

Bien que les domaines répertoriés dans le tableau 1 soient probablement compromis, Insikt Group a analysé les URL présentes sur les sites web hébergés sur deux domaines supplémentaires (voir tableau 2). Notre analyse suggère que ces domaines sont très probablement associés à TAG-124.

Tableau 2 : domaines supplémentaires trouvés grâce à une recherche de similarité visuelle (Source : Recorded Future)

The domain update-chronne[.]com, hosted behind Cloudflare, appears to be owned by the threat actors as it directly impersonates Google Chrome (see Figure 4). At the time of analysis, the domain was still active, indexed by Google Search, and hosted the file Release.zip, which was identified as REMCOS RAT.

Figure 4 : page d'atterrissage de la fausse mise à jour de Google Chrome sur update-chronne[.]com (Source : Recorded Future)

Notamment, lorsqu'une victime clique sur le bouton « Mettre à jour Chrome », le site web redirige vers downloading[.]bplnetempresas[.]com, qui affiche l'adresse IP 146.70.41[.]191 combiné à trois ports différents (voir Figure 5). Cette adresse IP a déjà été associée à REMCOS RAT.

Figure 5 : serveur de commande et de contrôle (C2) présumé de REMCOS RAT sur downloading[.]bplnetempresas[.]com (Source : Recorded Future)

Additionally, the domain hosted a file named moc.txt, containing a PowerShell script designed to download and execute the contents of Release.zip (see Figure 6). The URL was redirected via the shortened URL https://wl[.]gl/25dW64.

Figure 6 : Script PowerShell hébergé sur https://update-chronne[.]com/moc.txt au 12 septembre 2024 (Source : URLScan)

Site web fictif suspecté

Update-chronne[.]com et downloading[.]bplnetempresas[.]com hébergeaient un site web apparemment associé à « YSOFEL », qui semble être une organisation brésilienne (voir figure 7). Cependant, aucune information sur cette organisation n'a pu être trouvée en ligne, ce qui indique qu'il s'agit probablement d'une entité fictive.

Figure 7 : site web suspecté lié à une fausse organisation brésilienne (Source : URLScan)

Insikt Group a identifié plusieurs autres domaines, dont certains sont mentionnés dans la section Sites web WordPress compromis (tels que mktgads[.]com), tandis que d'autres semblent se faire passer pour Google (comme check-googlle[.]com) (voir Tableau 3). Cela suggère que le site web peut fonctionner comme un « site coquille », potentiellement utilisé pour vieillir des domaines ou pour afficher du contenu uniquement lorsque les visiteurs remplissent des critères spécifiques.

Tableau 3 : domaines liés au même « site web fictif » suspecté d'être lié à la fausse organisation brésilienne mentionnée ci-dessus (Source : Recorded Future)

Il reste incertain si tous les domaines du Tableau 3 sont malveillants ou liés à la même activité. Cependant, l'hébergement partagé du même site web, l'usurpation d'identité d'autres marques (comme ChainList) et la vérification partielle des liens vers des infections les rendent, pour le moins, suspects.

Serveurs de distribution TAG-124

TAG-124 utilise des sites WordPress compromis pour divers éléments de ses chaînes d'infection. Les serveurs intégrés dans les DOM de ces sites WordPress de première phase compromis, comme indiqué dans la section Sites web WordPress de première phase de livraison, appartiennent probablement aux acteurs de la menace. Insikt Group a identifié un réseau important de serveurs connectés aux acteurs de la menace TAG-124 et probablement sous leur contrôle (voir Tableau 4).

Tableau 4 : serveurs de diffusion TAG-124 probablement contrôlés par des acteurs de la menace (Source : Recorded Future)

La plupart des domaines ont commencé à se résoudre en novembre 2024, ce qui suggère que TAG-124 a pris de l'ampleur au cours de cette période, la majorité des domaines étant encore actifs au moment de l'analyse. À noter, deux domaines hébergés sur 45[.]61[.]136[.]67, à savoir piedsmontlaw[.]com et pemalite[.]com, renvoyaient déjà vers cette adresse IP en 2022, ce qui indique que le serveur était peut-être déjà sous le contrôle de l'acteur malveillant à cette époque.

Infrastructure de niveau supérieur suspectée

The majority of the suspected threat actor-controlled TAG-124 delivery servers, as listed in the TAG-124 Delivery Servers section, have been seen communicating with a server over TCP port 443 (see Figure 1). The configurations of this server are similar to those of the delivery servers and host a domain that returns only a generic HTML page when accessed. At the time of analysis, Insikt Group could not determine the exact purpose of this server but suspects it plays a central role in the operation. One possibility is that it contains the core logic of the TDS.

De plus, Insikt Group a identifié un serveur de gestion suspecté d'être lié à TAG-124. Ce serveur a été observé en train de communiquer avec les serveurs de livraison via les ports TCP 80 et 443. Il a également interagi avec un autre panneau lié à TAG-124, appelé « Ads Panel », dont l'objectif comprend la fourniture du dernier serveur de livraison via un point de terminaison spécifié, entre autres (voir Figure 1).

Appendix A — Indicators of Compromise

Appendix B — Mitre ATT&CK Techniques