Glupteba est un cheval de Troie généralement déployé via des installateurs malveillants et des cracks logiciels. Il s’agit d’un malware modulaire que les opérateurs peuvent utiliser pour effectuer un large éventail de tâches. Il est surprenant de constater que Glupteba utilise la blockchain Bitcoin pour distribuer ses domaines de contrôle et de commande depuis au moins 2019. La façon dont les domaines sont protégés dans les transactions a cependant légèrement évolué au fil du temps.

Les chercheurs du laboratoire Nozomi Networks ont enquêté sur l’activité de la blockchain de Glupteba pour trouver un moyen de traquer l’activité malveillante que les opérateurs de Glupteba ont essayé de dissimuler. Ils ont mené les recherches suivantes :
–  Analyse de l’ensemble de la blockchain Bitcoin à la recherche de domaines C2 cachés.
–  Tentative de décryptage de la charge utile de données du script OP_RETURN présent dans chaque transaction de chaque bloc en utilisant tous les algorithmes et clés connues de Gluptba.
–  Ils ont également téléchargé plus de 1500 échantillons de Glupteba à partir de VirusTotal et ont examiné les adresses portefeuilles utilisés
–  Ils ont pris note du dernier ensemble de certificats TLS utilisés par Glupteba, qui présente également un modèle précis dans les noms alternatifs des sujets, ce qui peut être recherché grâce à la transparence des certificats.
–  Ils ont examiné tous les enregistrements DNS passifs à disposition pour trouver les domaines et hôtes associés potentiels.