Une campagne malware sophistiquée ciblant Boeing a été découverte le 30 mars 2026, utilisant une chaîne d'attaque inhabituelle en 6 étapes pour livrer un payload Cobalt Strike chiffré de manière statique. Cette attaque combine des techniques d'ingénierie sociale avancées avec l'exploitation de services légitimes comme Filemail.com pour contourner les défenses périmétriques.
Découverte de la menace Boeing RFQ
La campagne a été flagée pour la première fois par @JAMESWT_WT (James Winfield-Turner, chercheur en sécurité reconnu) sur X le 30 mars 2026, qui a identifié un fichier DOCX suspect lié à une demande de cotation Boeing (RFQ NKFZ5966). Quelques heures plus tard, @lowmal3 a soumis plusieurs échantillons à MalwareBazaar sous le tag NKFZ5966PURCHASE, permettant une analyse complète de la kill chain. Au total, 22 échantillons ont été collectés dans MalwareBazaar incluant 3 documents DOCX lures, 3 droppers JavaScript, 1 downloader PowerShell, 1 loader Python, 1 DLL chiffrée et 5 memory dumps.
La chaîne d'attaque en 6-étapes détaillée
Étape 1 : Hameçonnage spear-phishing
L'attaque débute par un email de spear-phishing ciblé contenant un document DOCX légitime en apparence, prétendu être une demande de cotation Boeing avec la référence RFQ NKFZ5966. L'objet du mail utilise un langage professionnel et crédible pour inciter la victime à ouvrir le document. Cette technique correspond au MITRE ATT&CK T1566.001 (Phishing : Spearphishing Attachment).
Étape 2 : Document DOCX avec macro malveillante
Le document DOCX contient un script JavaScript intégré qui s'exécute lorsque l'utilisateur active les macros ou suit un lien RTF embarqué. La technique aFChunk (Active File Chunk) utilisée permet d'embedding des fichiers RTF dans le DOCX, une méthode connue depuis 2017 qui reste efficace car les gateways email ne suivent pas les liens RTF embarqués.
Étape 3 : Dropper JavaScript (T1059.007)
Le JavaScript exécuté agit comme dropper téléchargant le prochain stage depuis Filemail.com. Il utilise l'obfuscation pour éviter la détection signature-based et masque ses véritables intentions. Cette étape correspond à MITRE ATT&CK T1059.007 (Command and Scripting Interpreter : JavaScript).
Étape 4 : Downloader PowerShell (T1059.001)
Le dropper JS lance un downloader PowerShell qui récupère le loader Python desde un autre sous-domaine Filemail.com. PowerShell est utilisé pour ses capacités d'exécution temps réel et son intégration native dans Windows, ce qui le rend difficile à détecter par les solutions de sécurité traditionnelles. Cette étape correspond à MITRE ATT&CK T1059.001 (Command and Scripting Interpreter : PowerShell).
Étape 5 : Loader Python (T1059.006)
Le downloader PowerShell exécute un script Python qui contient la DLL chiffrée Cobalt Strike. Le Python loader utilise le chiffrement AES pour protéger le payload en mémoire et évite l'écriture sur disque. Cette étape correspond à MITRE ATT&CK T1059.006 (Command and Scripting Interpreter : Python).
Étape 6 : Cobalt Strike Beacon (T1620)
La DLL chiffrée est décryptée en mémoire et chargée de manière reflective, exécutant le Cobalt Strike beacon. Le memory dump confirme la présence de Cobalt Strike via la règle YARA cobalt_strike_tmp01925d3f et montre des composants .NET, anti-debugging et un PE sans table d'import. Cette étape correspond à MITRE ATT&CK T1620 (Reflective Code Loading).
Techniques d'anti-forensics et de contournement
Chiffrement statique du payload
Le Cobalt Strike beacon utilise un chiffrement statique pour protéger son code pendant le stockage et le transfert, rendant l'analyse statique traditionnelle inefficace. L'équipe GHOST de Breakglass Intelligence a réussi à extraire les clés de chiffrement et reconstruire la kill chain complète.
Utilisation de LOLBins (Living Off the Land Binaries)
L'attaque exploite SyncAppvPublishingServer.vbs, un LOLBin Windows légitime, pour exécuter du code malveillant sans télécharger d'outils externes. Cette technique correspond à MITRE ATT&CK T1218 (Signed Binary Proxy Execution) et rend la détection extrêmement difficile car les fichiers exécutés sont signés par Microsoft.
Masquerading et obfuscation
Les scripts JavaScript et PowerShell utilisent des techniques d'obfuscation avancées pour éviter la détection signature-based, avec des chaînes de caractères encodées et des appels système indirects. MITRE ATT&CK : T1027 (Obfuscated Files or Information) et T1036 (Technique Masquerading).
Reflective Loading sans écriture sur disque
Le payload Cobalt Strike est chargé de manière reflective en mémoire sans jamais écrire de fichier malveillant sur le disque dur, contournant ainsi les solutions EDR basées sur la surveillance du système de fichiers. Technique MITRE ATT&CK : T1620 (Reflective Code Loading) et T1105 (Ingress Tool Transfer).
Infrastructure attaque : exploitation de Filemail.com
Service légitime détourné
L'attaque exploite Filemail.com, un service norvégien légitime de partage de fichiers populaires en entreprise, pour héberger les payloads malveillants. Les attaquants utilisent 3 URLs distinctes sur différents sous-domaines Filemail.com pour distribuer les différents stages de la kill chain.
Pourquoi Filemail.com est efficace
Filemail.com est efficace car c'est un service légitime utilisé quotidiennement en entreprise, donc les pare-feu et les filtres email autorisent généralement le trafic vers ses sous-domaines. Le service norvégien est également conforme au RGPD et aux standards de sécurité européens, ce qui renforce sa crédibilité aux yeux des administrateurs sécurité.
Contournement des périmètres de sécurité
Cette technique permet aux attaquants de contourner les périmètres de sécurité traditionnels car le trafic vers Filemail.com est considéré comme légitime et n'est pas bloqué par les solutions de sécurité périmétrique. MITRE ATT&CK : T1071.001 (Application Layer Protocol : Web Protocols).
Attribution et analyse GHOST
Confirmation Cobalt Strike
L'analyse approfondie d'attribution publiée par l'équipe GHOST de Breakglass Intelligence le 1er avril 2026 confirme sans ambiguïté l'utilisation de Cobalt Strike, un framework de penetration testing largement utilisé par les groupes APT et les cybercriminels. La confirmation repose sur le matching signature en mémoire via la règle YARA cobalt_strike_tmp01925d3f.
Composants techniques identifiés
Les memory dumps extraits de la sandbox ANY.RUN révèlent des composants .NET, des mécanismes anti-debugging, et un PE sans table d'import typique des malwares avancés conçus pour échapper à l'analyse statique. Ces caractéristiques techniques sont cohérentes avec les builders Cobalt Strike personnalisés utilisés par des groupes sophistiqués.
Nécessité d'analyse dynamique
L'analyse dynamique (sandbox) est indispensable pour cette campagne car le C2 server est crypté dans le Cobalt Strike beacon, rendant l'analyse statique traditionnelle inefficace. ANY.RUN est mentionné comme nécessaire pour la soumission et l'analyse comportementale complète.
Cartographie MITRE ATT&CK complète
| Technique MITRE ATT&CK | Description | Rôle dans l'attaque |
|---|---|---|
| T1566.001 | Phishing : Spearphishing Attachment | Email malveillant avec DOCX |
| T1059.007 | Command and Scripting Interpreter : JavaScript | Dropper JS |
| T1059.001 | Command and Scripting Interpreter : PowerShell | Downloader PowerShell |
| T1059.006 | Command and Scripting Interpreter : Python | Loader Python |
| T1218 | Signed Binary Proxy Execution : LOLBin | SyncAppvPublishingServer.vbs |
| T1027 | Obfuscated Files or Information | Obfuscation JS/PowerShell |
| T1036 | Technique Masquerading | Masquage du payload |
| T1620 | Reflective Code Loading | Chargement en mémoire |
| T1140 | Deobfuscate Files or Information | Déobfuscation en mémoire |
| T1547.001 | Boot or Logon Autostart Execution : Registry Run Keys | Persistance via Registry |
| T1071.001 | Application Layer Protocol : Web Protocols | Communication HTTP/Filemail |
| T1105 | Ingress Tool Transfer | Téléchargement payloads |
| T1055 | Process Injection | Injection en mémoire |
Indicateurs de compromission (IOCs)
Fichiers et tags
- Tag MalwareBazaar :
NKFZ5966PURCHASE(22 échantillons) - Tag alternatif :
Spam-ITA(ciblage organisations italiennes secondaires) - Extensions de fichiers :
.docx,.js,.ps1,.py,.dll
Règles de détection YARA
Embedded_RTF_File: Détection RTF embedding dans DOCXFreddyBearDropper: Détection dropper JavaScriptcobalt_strike_tmp01925d3f: Confirmation Cobalt Strike via signature mémoire
Techniques de détection recommandées
- Surveillance des macros DOCX : Bloquer l'exécution automatique des macros dans les documents Office
- Analyse comportementale : Utiliser des sandboxes dynamiques comme ANY.RUN pour l'analyse comportementale
- Monitoring des LOLBins : Surveiller l'exécution de
SyncAppvPublishingServer.vbset autres LOLBins Windows - Détection des patterns RTF : Implémenter des règles détectant l'embedding RTF dans DOCX
Impact et ciblage de la campagne
Organisations ciblées
La campagne cible principalement des fournisseurs et partenaires de Boeing receiving des demandes de cotation (RFQ), mais elle est également utilisée pour cibler des organisations italiennes comme cibles secondaires. Le tag Spam-ITA dans MalwareBazaar confirme le ciblage italien secondaire.
Secteurs à risque
- Industrie aéronautique et défense : Fournisseurs Boeing, sous-traitants aérospatiaux
- Entreprises italiennes : Organisations ciblées secondairement
- Secteurs recevant des RFQ : Entreprises participant à des appels d'offres publics ou privés
Risques associés
- Vol de propriété intellectuelle : Accès aux données sensibles de Boeing et de ses partenaires
- Mouvement latéral : Cobalt Strike permet un mouvement latéral dans le réseau compromis
- Exfiltration de données : C2 encrypté permettant l'exfiltration discrète de données
- Persistence longue durée : Clés de registre pour persistance, anti-debugging pour éviter la détection
Recommandations de protection
Mesures préventives
- Désactiver les macros Office par défaut : Empêcher l'exécution automatique des macros dans les documents Office, même dans les pièces jointes légitimes
- Formation à la détection d'email : Former les utilisateurs à reconnaître les emails de spear-phishing ciblant des RFQ et demandes de cotation
- Bloquer les sous-domaines Filemail suspects : Surveiller et bloquer les sous-domaines Filemail.com non utilisés dans l'organisation
- Implémenter DMARC, SPF, DKIM : Protéger contre la falsification d'emails et améliorer lauthenticité des emails entrants
Mesures de détection
- Déployer les règles YARA : Implémenter les règles
Embedded_RTF_File,FreddyBearDropperetcobalt_strike_tmp01925d3fdans les solutions EDR - Surveiller l'exécution LOLBin : Ajouter des alertes sur l'exécution de
SyncAppvPublishingServer.vbset autres LOLBins Windows - Analyse comportementale : Utiliser des sandboxes dynamiques pour analyser les documents suspects avant livraison
- Monitoring des patterns RTF : Implémenter des règles détectant l'embedding RTF dans DOCX au niveau gateway email
Conclusion : une attaque sophistiquée mais détectable
La campagne Boeing RFQ illustre l'évolution des attaques malware vers des chaînes multi-étapes combinant ingénierie sociale avancée, exploitation de services légitimes et techniques d'anti-forensics sophistiquées. Malgré sa complexité, cette attaque reste détectable grâce à une surveillance appropriée des LOLBins, une analyse comportementale rigoureuse et l'implémentation des règles YARA appropriées.
Les organisations doivent insbesondere se protéger contre les documents DOCX avec macros, surveiller l'utilisation de services de partage de fichiers légitimes comme Filemail.com, et maintenir une posture de détection proactive contre Cobalt Strike et ses dérivés. La formation des utilisateurs à la détection d'emails de spear-phishing reste la première ligne de défense contre ce type d'attaque sophistiquée.
Sources & pour aller plus loin
- Hackers Abuse DOCX, RTF, JS, and Python in Stealthy Boeing RFQ Malware Campaign : Cryptika Cybersecurity
- Inside a 6-Stage Cobalt Strike Campaign With Static Encryption : Breakglass Intelligence
- RFQ Malware Campaign Delivers Multi Stage Cobalt Strike Payload : Eventus Security
- Hackers Weaponize DOCX, RTF, JavaScript, and Python In Boeing RFQ Attack : CyberPress
0 commentaire