NimImplant

Implant/porte dérobée écrit en langage de programmation Nim. MinGW-W64 est compilé avec GCC et effectue des appels API Windows grâce à la bibliothèque winim. Injection de threads avec SetThreadContext, communication cryptée avec BCryptGenRandom, chevauchement de TCP C2 avec WSAID_CONNECTEX. Anti-analyse avec structure de 20 sections PE. Pour échapper à la détection AV, Nim est devenu le langage de choix.

Profil de menace
Type Backdoor
Langage de programmationNim
Protocole C2TCP
Première détection2023
Cibles Kurumsal/Kuresel
Objectif / Capacités
  • Porte dérobée/injection de processus/C2 crypté
Aucun serveur C2 n'a encore été identifié pour cette famille.

Rapports de recherche (1)

Élevé

NimImplant 11ddebd9 -- Nim MinGW GCC x64 SetThreadContext BCryptGenRandom WSAID_CONNECTEX 20-section winim Process-Injection CNG | Yuksek

NimImplant 11ddebd9 Nim + MinGW-W64 GCC 11.1. SetThreadContext thread injection. BCryptGenRandom CNG. WSAID_CONNECTEX overlapped TCP. 20 PE section. winim assembly. TLS anti-debug.

Lire le rapport →