Petit thread sur le nouveau wiper qui a touché l'UA hier que je vais alimenter toute la journée
Ca sera en Fr
This thread is about new wiper targeting Ukraine

I'll update today. Sorry but I write in french in the first time, if you have questions my DMs are opens
#HermeticWiper premiere constatation, le loader qui cause avec le driver qui sont en ressources est totalement neuf, pas de code réused pour le moment.

le driver va s'occuper du bas niveau piloter par son loader, via les IOCTLs

L'article de @FireEye montre bien que d'avoir des TTPs sur les chinois pour constituer des groupes est de plus en plus compliqué. Les groupes chinois ne peuvent plus être appréhender sous le prisme comme on l'a fait auparavant avec les russes ou les iraniens. Ils y a trop sharing de tools, d'infras, de TTPs en tout genre. Ils vont même à procédurer les sites de parking de leurs domaines. les conventions de nommage aussi sont partagés sur les domaines. De meme l'organisation ultra vertical des donneurs d'ordres chinois et ensuite l'utilisation de ops