| Titre | Dark Crystal RAT (DCRat) |
| Numéro de Référence | Numéro de Référence 61690503/26 |
| Date de publication | Date de publication 05 mars 2026 |
| Niveau de Risque | Niveau de Risque Critique |
| Niveau d'Impact | Niveau d'Impact Critique |
Dark Crystal RAT (DCRat) est un cheval de Troie d’accès à distance utilisé par des cybercriminels pour prendre le contrôle d’une machine infectée et surveiller l’activité de l’utilisateur. Développé principalement en C# sur la plateforme .NET, il cible surtout les systèmes Windows. Une fois installé sur la machine de la victime, le malware établit une connexion avec un serveur C2, permettant à l’attaquant d’envoyer des instructions et de gérer le système compromis à distance.
DCRat est conçu de manière modulaire, ce qui signifie que ses fonctionnalités peuvent être étendues grâce à des plugins ajoutés par l’attaquant. Parmi ses capacités courantes figurent l’enregistrement des frappes clavier (keylogging), la capture d’écran, la collecte des informations sur le système et l’accès aux fichiers de la victime. Le malware peut également récupérer des identifiants stockés dans les navigateurs ou surveiller certaines applications installées sur l’ordinateur.
La propagation de DCRat se fait souvent par phishing ou ingénierie sociale, par exemple via des pièces jointes malveillantes dans des e-mails ou des fichiers malicieux téléchargés depuis Internet. Dans certains cas, l’infection peut être déclenchée par un document contenant des macros ou par l’exécution d’un programme déguisé en fichier légitime.
En raison de sa flexibilité et de son modèle de distribution sur des forums clandestins, DCRat est devenu un outil populaire dans la cybercriminalité. Il peut être utilisé pour espionner les victimes, voler des données sensibles ou préparer d’autres attaques, comme l’installation de malwares supplémentaires sur le système compromis.
Le maCERT recommande d’intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection et d’alerter le maCERT en cas de détection d’une activité relative à ce malware.
Hashs :
|
IP :
158.94.209.58 | 103.17.185.70 | 64.7.199.51 |
108.252.227.16 | 124.198.132.79 | 178.16.55.201 |
191.93.118.254 | 178.16.53.193 | 160.187.146.97 |
203.104.42.92 | 185.208.156.201 | 45.133.180.162 |
154.12.87.24 | 188.240.81.199 | 146.70.51.74 |
94.154.35.114 | 103.121.92.159 | 45.133.180.138 |
181.206.158.190 | 194.59.30.76 | 20.52.248.45 |
45.74.34.32 | 158.94.211.185 | 46.246.82.12 |
94.154.35.160 | 166.88.99.211 | 138.2.16.164 |
103.85.225.63 | 43.157.1.71 | 212.64.210.140 |
193.143.1.216 | 103.171.34.67 | 46.246.6.20 |
80.85.158.49 | 185.213.25.37 | 40.66.48.150 |
12.202.180.102 | 158.94.211.251 | 146.235.38.234 |
144.172.88.250 | 192.253.245.199 | 158.94.208.143 |
188.126.90.11 | 103.75.190.47 | 213.171.5.199 |
158.94.208.135 | 144.48.180.16 | 128.90.115.62 |
158.94.208.109 | 158.94.211.223 | 193.233.112.39 |
91.92.242.165 | 115.42.60.122 | 217.60.7.59 |
103.236.70.158 | 106.55.135.216 | 154.36.188.196 |
103.85.225.40 | 188.132.165.22 |
Domaines:
yearofcolour.com | phishing.barefootblonde.com |
barefootblonde.com | v3.barefootblonde.com |
malware.trillex.io | data.trillex.io |
malware.gmo-compass.org | gmo-compass.org |
data.gmo-compass.org | ddos.barefootblonde.com |
trillex.io | www.trillex.io |
ddos.gmo-compass.org | ddos.yearofcolour.com |
quantri.gmo-compass.org | atex.barefootblonde.com |
www.gmo-compass.org | malware.yearofcolour.com |
quantri.trillex.io | backup.yearofcolour.com |
quantri.barefootblonde.com | phishing.trillex.io |
quantri.yearofcolour.com | malware.barefootblonde.com |
malware.hunewsbaytara23.za.com | hunewsbaytara23.za.com |
atex.yearofcolour.com | backup.barefootblonde.com |
www.barefootblonde.com | data.yearofcolour.com |
v3.trillex.io | v3.yearofcolour.com |
v2.yearofcolour.com | atex.trillex.io |
v2.trillex.io | backup.trillex.io |
phishing.yearofcolour.com | phishing.gmo-compass.org |
data.barefootblonde.com | backup.gmo-compass.org |
v2.barefootblonde.com | v2.gmo-compass.org |
www.yearofcolour.com | v3.gmo-compass.org |
ddos.trillex.io | atex.gmo-compass.org |
URL / Chaines de connexion
| tcp://193.233.112.39:8888/ |
| tcp://128.90.115.62:9999/ |
| tcp://217.60.7.59:8888/ |
| tcp://217.60.7.59:7777/ |
| tcp://46.246.82.12:1963/ |
| tcp://46.246.6.20:2003/ |
| tcp://46.246.6.20:3000/ |
| tcp://213.171.5.199:8888/ |
| tcp://154.36.188.196:65503/ |
Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma
DGSSI2026 All rights reserved
