TechFlow rapporte, le 15 avril, qu’Elastic Security Labs a révélé que des acteurs de la menace se faisaient passer pour des sociétés de capital-risque afin d’inciter leurs cibles, via LinkedIn et Telegram, à ouvrir des dépôts de notes Obsidian contenant du code malveillant. Cette attaque exploite le plugin « Shell Commands » d’Obsidian, permettant l’exécution du charge utile malveillante sans nécessiter d’exploitation de vulnérabilité dès lors que la victime ouvre le dépôt de notes.
Le cheval de Troie à accès distant (RAT) Windows baptisé PHANTOMPULSE, découvert dans le cadre de cette campagne, n’avait jamais été documenté auparavant. Il utilise les données des transactions Ethereum pour établir une communication C2 (commande et contrôle) basée sur la blockchain. Sur macOS, la charge utile repose sur un lanceur AppleScript obfusqué, tandis qu’un canal Telegram sert de mécanisme C2 de secours. Elastic Defend a détecté et bloqué cette attaque avant l’exécution de PHANTOMPULSE.
