NimImplant
Implante/puerta trasera escrito en lenguaje de programación Nim. MinGW-W64 está compilado con GCC y realiza llamadas a la API de Windows gracias a la biblioteca winim. Inyección de subprocesos con SetThreadContext, comunicación cifrada con BCryptGenRandom, TCP C2 superpuesto con WSAID_CONNECTEX. Antianálisis con estructura de 20 secciones de PE. Para evadir la detección AV, Nim se ha convertido en el idioma elegido.
Perfil de amenaza
Tipo
Backdoor
Lenguaje de programaciónNim
Protocolo C2TCP
Primera detección2023
Objetivos
Kurumsal/Kuresel
Propósito / Capacidades
- Puerta trasera/Inyección de proceso/C2 cifrado
Aún no se han identificado servidores C2 para esta familia.
Informes de investigación (1)
NimImplant 11ddebd9 -- Nim MinGW GCC x64 SetThreadContext BCryptGenRandom WSAID_CONNECTEX 20-section winim Process-Injection CNG | Yuksek
NimImplant 11ddebd9 Nim + MinGW-W64 GCC 11.1. SetThreadContext thread injection. BCryptGenRandom CNG. WSAID_CONNECTEX overlapped TCP. 20 PE section. winim assembly. TLS anti-debug.
Leer informe →