NimImplant
Implant/porte dérobée écrit en langage de programmation Nim. MinGW-W64 est compilé avec GCC et effectue des appels API Windows grâce à la bibliothèque winim. Injection de threads avec SetThreadContext, communication cryptée avec BCryptGenRandom, chevauchement de TCP C2 avec WSAID_CONNECTEX. Anti-analyse avec structure de 20 sections PE. Pour échapper à la détection AV, Nim est devenu le langage de choix.
Profil de menace
Type
Backdoor
Langage de programmationNim
Protocole C2TCP
Première détection2023
Cibles
Kurumsal/Kuresel
Objectif / Capacités
- Porte dérobée/injection de processus/C2 crypté
Aucun serveur C2 n'a encore été identifié pour cette famille.
Rapports de recherche (1)
NimImplant 11ddebd9 -- Nim MinGW GCC x64 SetThreadContext BCryptGenRandom WSAID_CONNECTEX 20-section winim Process-Injection CNG | Yuksek
NimImplant 11ddebd9 Nim + MinGW-W64 GCC 11.1. SetThreadContext thread injection. BCryptGenRandom CNG. WSAID_CONNECTEX overlapped TCP. 20 PE section. winim assembly. TLS anti-debug.
Lire le rapport →