{"id":169335,"date":"2025-12-17T08:06:24","date_gmt":"2025-12-17T16:06:24","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=169335"},"modified":"2025-12-23T08:41:45","modified_gmt":"2025-12-23T16:41:45","slug":"ransomhouse-encryption-upgrade","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/","title":{"rendered":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse"},"content":{"rendered":"<h2><a id=\"post-169335-_4lt92rr5muov\"><\/a>Avant-propos<\/h2>\n<p>RansomHouse est une op\u00e9ration de ransomware-as-a-Service\u00a0(RaaS) men\u00e9e par un groupe que nous suivons sous le nom de Jolly Scorpius. Des \u00e9chantillons r\u00e9cents des binaires utilis\u00e9s dans les op\u00e9rations de RansomHouse r\u00e9v\u00e8lent une \u00e9volution significative de ses m\u00e9canismes de chiffrement. Cet article analyse cette \u00e9volution du chiffrement de RansomHouse ainsi que ses impacts potentiels pour les d\u00e9fenseurs.<\/p>\n<p>Jolly\u00a0Scorpius a recours \u00e0 une strat\u00e9gie de double extorsion. Celle-ci combine le vol et le chiffrement des donn\u00e9es des victimes avec des menaces de divulgation.<\/p>\n<p>L\u2019ampleur des op\u00e9rations du groupe est significative. \u00c0 la date de publication de cet article, au moins 123\u00a0victimes \u00e9taient r\u00e9pertori\u00e9es sur le site de fuite de donn\u00e9es de RansomHouse, avec des informations divulgu\u00e9es ou mises en vente depuis d\u00e9cembre\u00a02021.<\/p>\n<p>Ce groupe a perturb\u00e9 des secteurs critiques, notamment la sant\u00e9, la finance, les transports et les administrations publiques. Les cons\u00e9quences de ces intrusions sont vari\u00e9es\u00a0: pertes financi\u00e8res importantes, violations de donn\u00e9es majeures et \u00e9rosion de la confiance du public envers les organisations touch\u00e9es.<\/p>\n<p>Afin de mieux comprendre les op\u00e9rations de RansomHouse, nous analysons sa cha\u00eene d\u2019attaque. Nous examinons \u00e9galement l\u2019\u00e9volution du chiffrement de ce ransomware, qui passe d\u2019une technique lin\u00e9aire et simple \u00e0 phase unique \u00e0 une m\u00e9thode plus complexe et multicouche.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces d\u00e9crites dans cet article gr\u00e2ce aux produits et services suivants\u00a0:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a><\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Xpanse<\/a> et le <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">module compl\u00e9mentaire\u00a0ASM pour XSIAM<\/a><\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a>.<\/p>\n<table style=\"width: 98.9631%;\">\n<thead>\n<tr style=\"height: 24px;\">\n<td style=\"width: 35%; height: 24px;\"><b>Unit\u00a042 \u2013\u00a0Th\u00e9matiques connexes<\/b><\/td>\n<td style=\"width: 238.165%; height: 24px;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/category\/ransomware-fr\/\" target=\"_blank\" rel=\"noopener\"><b>Ransomware<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/esxi-fr\/\" target=\"_blank\" rel=\"noopener\">ESXi<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-169335-_wven14kmgum2\"><\/a>R\u00f4les des acteurs et cha\u00eene d\u2019attaque<\/h2>\n<p>Si Jolly\u00a0Scorpius se pr\u00e9sente comme un groupe d\u00e9non\u00e7ant les vuln\u00e9rabilit\u00e9s des entreprises, ses actions traduisent un mod\u00e8le d\u2019extorsion direct. Afin de mieux comprendre les op\u00e9rations de RansomHouse, nous identifions les r\u00f4les sp\u00e9cifiques des acteurs, distinguons les diff\u00e9rentes phases de la cha\u00eene d\u2019attaque et d\u00e9terminons la mani\u00e8re dont ces r\u00f4les et ces phases s\u2019articulent entre eux.<\/p>\n<p>La Figure\u00a01 illustre ces r\u00f4les, ainsi que leur positionnement au sein de la cha\u00eene d\u2019attaque.<\/p>\n<figure id=\"attachment_169501\" aria-describedby=\"caption-attachment-169501\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169501 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/FR_introduction_overview-1.png\" alt=\"Sch\u00e9ma de la cha\u00eene d\u2019attaque de RansomHouse, structur\u00e9 en deux sections\u00a0: \u00ab\u00a0R\u00f4les et Cha\u00eene d\u2019attaque\u00a0\u00bb. Dans \u00ab\u00a0R\u00f4les\u00a0\u00bb, des ic\u00f4nes repr\u00e9sentent un op\u00e9rateur, un attaquant et une victime. Ci-dessous, la \u00ab\u00a0Cha\u00eene d'attaque\u00a0\u00bb est divis\u00e9e en quatre \u00e9tapes\u00a0: 1. \u00ab\u00a0D\u00e9veloppement\u00a0\u00bb, illustr\u00e9e par des ic\u00f4nes repr\u00e9sentant des outils et un site de fuite de donn\u00e9es. 2. \u00ab\u00a0Infiltration\u00a0\u00bb, indiquant l\u2019acc\u00e8s initial et la lat\u00e9ralisation. 3. \u00ab\u00a0Exfiltration et d\u00e9ploiement\u00a0\u00bb, avec des ic\u00f4nes repr\u00e9sentant MrAgent et Mario aux c\u00f4t\u00e9s de VMware. 4. \u00ab\u00a0Extorsion\u00a0\u00bb, symbolis\u00e9e par un serveur et une communication entre deux personnes. \" width=\"1000\" height=\"464\" \/><figcaption id=\"caption-attachment-169501\" class=\"wp-caption-text\">Figure 1. R\u00f4les des acteurs et leur articulation avec les diff\u00e9rentes phases de la cha\u00eene d\u2019attaque de RansomHouse.<\/figcaption><\/figure>\n<p>La cha\u00eene d\u2019attaque de RansomHouse implique trois r\u00f4les distincts\u00a0:<\/p>\n<ul>\n<li><strong>L\u2019op\u00e9rateur\u00a0: <\/strong>il exploite le RaaS<\/li>\n<li><strong>L\u2019attaquant\u00a0: <\/strong>il d\u00e9ploie le ransomware<\/li>\n<li><strong>La victime\u00a0: <\/strong>elle est cibl\u00e9e par l\u2019attaquant<\/li>\n<\/ul>\n<p>Les op\u00e9rateurs sont responsables de la mise en place et du maintien du RaaS, notamment du d\u00e9veloppement des outils de chiffrement des donn\u00e9es et d\u2019autres fonctionnalit\u00e9s. Ils g\u00e8rent le site de fuite de donn\u00e9es ainsi que l\u2019architecture permettant aux victimes de n\u00e9gocier le paiement des ran\u00e7ons. Cela inclut la gestion des portefeuilles de cryptomonnaies utilis\u00e9s pour la collecte et le blanchiment des ran\u00e7ons.<\/p>\n<p>Les attaquants sont g\u00e9n\u00e9ralement d\u00e9sign\u00e9s comme des affili\u00e9s, car ils constituent des acteurs de la menace distincts des op\u00e9rateurs. Alors que les services de ransomware voient le jour et disparaissent, les attaquants peuvent changer d\u2019affiliation et rejoindre diff\u00e9rents groupes\u00a0RaaS. Ils sont responsables de l\u2019obtention de l\u2019acc\u00e8s initial, des d\u00e9placements lat\u00e9raux, de l\u2019exfiltration des donn\u00e9es et du d\u00e9ploiement du ransomware.<\/p>\n<p>Les attaquants de RansomHouse <a href=\"https:\/\/www.scworld.com\/news\/mragent-ransomware-tool-from-ransomhouse-group-targets-esxi-servers\" target=\"_blank\" rel=\"noopener\">sont connus pour cibler des infrastructures\u00a0VMware ESXi<\/a>, une plateforme d\u2019hyperviseur largement utilis\u00e9e dans les environnements d\u2019entreprise. Ils ciblent sp\u00e9cifiquement ESXi, car la compromission de cette plateforme leur permet de chiffrer simultan\u00e9ment des dizaines, voire des centaines de machines virtuelles, ce qui provoque une perturbation op\u00e9rationnelle maximale.<\/p>\n<p>La cha\u00eene d\u2019attaque refl\u00e8te une strat\u00e9gie \u00e0 plusieurs volets visant \u00e0 exercer une pression sur les victimes de RansomHouse. Cette strat\u00e9gie repose sur la collecte d\u2019informations sensibles, le chiffrement s\u00e9lectif des donn\u00e9es, la publication de l\u2019identit\u00e9 des victimes et la menace de divulgation. La cha\u00eene d\u2019attaque de RansomHouse peut \u00eatre d\u00e9compos\u00e9e en quatre phases\u00a0:<\/p>\n<ol>\n<li>D\u00e9veloppement<\/li>\n<li>Infiltration<\/li>\n<li>Exfiltration et d\u00e9ploiement<\/li>\n<li>Extorsion<\/li>\n<\/ol>\n<p>Chaque phase implique au moins l\u2019un des trois r\u00f4les.<\/p>\n<h3><a id=\"post-169335-_hcc7cm6zd1ql\"><\/a><strong>Phase\u00a01\u00a0: d\u00e9veloppement<\/strong><\/h3>\n<p>Au cours de cette phase, les op\u00e9rateurs de RansomHouse agissent en tant que fournisseurs de l\u2019infrastructure backend et sont responsables du d\u00e9veloppement de l\u2019ensemble des composantes\u00a0RaaS. Il convient de noter que les op\u00e9rateurs ne m\u00e8nent g\u00e9n\u00e9ralement pas les intrusions initiales. Ils s\u2019appuient plut\u00f4t sur leurs affili\u00e9s, c\u2019est-\u00e0-dire les attaquants, pour exploiter les services RaaS d\u00e9velopp\u00e9s durant cette phase.<\/p>\n<h3><a id=\"post-169335-_rkbgbjfxn5sw\"><\/a><strong>Phase\u00a02\u00a0: infiltration<\/strong><\/h3>\n<p>Au cours de cette phase, les attaquants compromettent les victimes au moyen de campagnes d\u2019hame\u00e7onnage cibl\u00e9 ou d\u2019autres techniques d\u2019ing\u00e9nierie sociale. Outre le courrier \u00e9lectronique, les vecteurs d\u2019acc\u00e8s initial incluent des syst\u00e8mes vuln\u00e9rables au sein de l\u2019environnement de la victime, que les attaquants peuvent compromettre via des failles zero-day ou d\u2019autres types d\u2019exploits.<\/p>\n<p>Une fois l\u2019acc\u00e8s initial obtenu, les attaquants utilisent g\u00e9n\u00e9ralement des outils et des frameworks tiers afin d\u2019explorer le r\u00e9seau de la victime. Viennent ensuite les activit\u00e9s de reconnaissance visant \u00e0 cartographier l\u2019environnement, l\u2019\u00e9l\u00e9vation de privil\u00e8ges, les d\u00e9placements lat\u00e9raux ainsi que l\u2019identification d\u2019informations sensibles ou \u00e0 forte valeur.<\/p>\n<h3><a id=\"post-169335-_tm1944cwtaa5\"><\/a><strong>Phase\u00a03\u00a0: exfiltration et d\u00e9ploiement<\/strong><\/h3>\n<p>Une fois que les attaquants affili\u00e9s \u00e0 RansomHouse ont infiltr\u00e9 l\u2019environnement d\u2019une victime, ils exfiltrent des donn\u00e9es sensibles et d\u00e9ploient le ransomware. Les techniques d\u2019exfiltration de donn\u00e9es couramment utilis\u00e9es reposent sur des utilitaires de compression et de transfert de fichiers \u2013\u00a0les donn\u00e9es \u00e9tant g\u00e9n\u00e9ralement envoy\u00e9es vers des serveurs plac\u00e9s sous le contr\u00f4le des attaquants.<\/p>\n<p>Le RaaS de RansomHouse repose sur une architecture modulaire comprenant deux \u00e9l\u00e9ments\u00a0:<\/p>\n<ul>\n<li>Un outil de gestion<\/li>\n<li>Un chiffreur<\/li>\n<\/ul>\n<p>RansomHouse utilise un outil de gestion nomm\u00e9 MrAgent, con\u00e7u pour <a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">automatiser et suivre les d\u00e9ploiements du ransomware sur diff\u00e9rents syst\u00e8mes d\u2019hyperviseur<\/a> au sein d\u2019un environnement\u00a0ESXi.<\/p>\n<p>RansomHouse s\u2019appuie sur un chiffreur appel\u00e9 Mario. Une fois les fichiers chiffr\u00e9s, Mario d\u00e9pose une note de ran\u00e7on contenant des instructions expliquant aux victimes comment r\u00e9cup\u00e9rer leurs donn\u00e9es.<\/p>\n<h3><a id=\"post-169335-_8ihcjwvqnf5e\"><\/a><strong>Phase\u00a04\u00a0: extorsion<\/strong><\/h3>\n<p>Une fois les donn\u00e9es d\u2019une victime d\u00e9rob\u00e9es et chiffr\u00e9es, la cha\u00eene d\u2019attaque entre dans la phase d\u2019extorsion. Les op\u00e9rateurs du RaaS sont g\u00e9n\u00e9ralement responsables de cette phase, qui implique souvent des n\u00e9gociations men\u00e9es via des chat rooms d\u00e9di\u00e9s. Les op\u00e9rateurs \u00e9tayent leurs menaces par des divulgations strat\u00e9giques d\u2019informations sur des plateformes telles que Telegram et RansomHouse, un site de fuite de donn\u00e9es.<\/p>\n<p>\u00c0 pr\u00e9sent que nous comprenons mieux la cha\u00eene d\u2019attaque de RansomHouse, examinons la mani\u00e8re dont les composants de ce ransomware sont utilis\u00e9s dans les attaques.<\/p>\n<h2><a id=\"post-169335-_25xn81m61ct0\"><\/a>Composants de RansomHouse utilis\u00e9s lors des attaques<\/h2>\n<p>Les deux composants de ce ransomware, \u00e0 savoir MrAgent et Mario, sont pens\u00e9s pour compromettre des environnements virtualis\u00e9s. La Figure\u00a02 illustre la mani\u00e8re dont ces outils sont utilis\u00e9s lors d\u2019une attaque\u00a0RansomHouse au sein d\u2019un r\u00e9seau\u00a0ESXi.<\/p>\n<figure id=\"attachment_169347\" aria-describedby=\"caption-attachment-169347\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169347 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2.png\" alt=\"Diagramme illustrant un processus de cyberattaque. Il montre un \u00ab\u00a0serveur CnC de l\u2019attaquant (RansomHouse)\u00a0\u00bb se connectant et envoyant des commandes, lesquelles permettent de d\u00e9ployer des outils de d\u00e9ploiement et un ransomware via \u00ab\u00a0l\u2019hyperviseur\u00a0VMware ESXi\u00a0\u00bb afin de cibler des \u00ab\u00a0datastores virtualis\u00e9s\u00a0\u00bb. Ceux-ci contiennent des \u00ab\u00a0fichiers de VM\u00a0\u00bb, tels que .vmdk et .vmx, et affectent des VM identifi\u00e9es comme Serveur web, Base de donn\u00e9es et Contr\u00f4leur de domaine.\" width=\"900\" height=\"989\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2.png 1863w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2-400x440.png 400w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2-637x700.png 637w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2-768x844.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-505441-169335-2-1397x1536.png 1397w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169347\" class=\"wp-caption-text\">Figure 2. Diagramme de l\u2019utilisation des composants de RansomHouse dans un environnement ESXi.<\/figcaption><\/figure>\n<p>Apr\u00e8s avoir infiltr\u00e9 l\u2019environnement, un attaquant d\u00e9ploie MrAgent sur l\u2019hyperviseur\u00a0ESXi de la victime. MrAgent \u00e9tablit une connexion persistante avec le serveur de commande et contr\u00f4le (CnC) de l\u2019attaquant.<\/p>\n<p>Les attaquants envoient ensuite des commandes depuis le serveur CnC vers MrAgent afin de mener d\u2019autres op\u00e9rations, comme l\u2019exfiltration de donn\u00e9es. Une fois les donn\u00e9es exfiltr\u00e9es, les attaquants demandent \u00e0 MrAgent de t\u00e9l\u00e9charger et d\u2019ex\u00e9cuter le chiffreur\u00a0Mario, lequel s\u2019ex\u00e9cute directement sur l\u2019hyperviseur afin de chiffrer les fichiers des machines virtuelles.<\/p>\n<p>MrAgent \u00e9tant le premier composant utilis\u00e9 lors de l\u2019attaque, examinons d\u2019abord son mode de fonctionnement.<\/p>\n<h2><a id=\"post-169335-_3f3xtwwu3vj8\"><\/a>MrAgent\u00a0: l\u2019outil de d\u00e9ploiement de RansomHouse<\/h2>\n<p>En tant qu\u2019outil principal des op\u00e9rations de RansomHouse, MrAgent offre aux attaquants un acc\u00e8s persistant \u00e0 l\u2019environnement d\u2019une victime et simplifie la gestion \u00e0 grande \u00e9chelle des h\u00f4tes compromis. Cette gestion repose sur les diff\u00e9rentes fonctionnalit\u00e9s int\u00e9gr\u00e9es \u00e0 l\u2019outil.<\/p>\n<h3><a id=\"post-169335-_wusv4h42aeu2\"><\/a><strong>Fonctions<\/strong><\/h3>\n<p>Les principales fonctions de MrAgent sont les suivantes\u00a0:<\/p>\n<ul>\n<li>Obtention des identifiants de l\u2019h\u00f4te<\/li>\n<li>Obtention de l\u2019adresse\u00a0IP de l\u2019h\u00f4te<\/li>\n<li>D\u00e9sactivation du pare-feu<\/li>\n<li>Communication avec le serveur de commande et contr\u00f4le (CnC) de l\u2019attaquant<\/li>\n<\/ul>\n<p>Bien qu\u2019une <a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">analyse men\u00e9e par Trellix<\/a> ait permis de documenter les commandes utilis\u00e9es par MrAgent, nous pouvons les examiner afin de mieux comprendre son mode de fonctionnement.<\/p>\n<p>Les commandes permettant d\u2019obtenir les identifiants de l\u2019h\u00f4te sont les suivantes\u00a0:<\/p>\n<ul>\n<li>Pour le nom d\u2019h\u00f4te\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">uname -a<\/span><\/li>\n<li>Pour l\u2019adresse\u00a0MAC\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">esxcli --formatter=csv network nic list<\/span><\/li>\n<\/ul>\n<p>La commande utilis\u00e9e pour obtenir l\u2019adresse\u00a0IP de l\u2019h\u00f4te est la suivante\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">esxcli --formatter=csv network ip interface ipv4 get<\/span><\/li>\n<\/ul>\n<p>La commande permettant de d\u00e9sactiver le pare-feu est la suivante\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">esxcli network firewall set --enabled false<\/span><\/li>\n<\/ul>\n<p>La fonction de MrAgent charg\u00e9e de v\u00e9rifier la connectivit\u00e9 avec le serveur de commande et contr\u00f4le (CnC) s\u2019ex\u00e9cute dans une boucle infinie. Lors de ces v\u00e9rifications de connectivit\u00e9, MrAgent peut recevoir diff\u00e9rentes instructions en provenance du serveur CnC. Le Tableau\u00a01 pr\u00e9sente des exemples de ces instructions ainsi que leur fonction.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 12.6348%;\"><strong>Instruction<\/strong><\/td>\n<td style=\"text-align: center; width: 86.7488%;\"><strong>Fonction<\/strong><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Abort<\/span><\/td>\n<td style=\"width: 86.7488%;\">Interrompt le d\u00e9marrage du chiffrement si l\u2019hyperviseur se trouve dans sa phase de temporisation apr\u00e8s un red\u00e9marrage<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Abort_f<\/span><\/td>\n<td style=\"width: 86.7488%;\">Termine les threads lanc\u00e9s par MrAgent<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Config<\/span><\/td>\n<td style=\"width: 86.7488%;\">\u00c9crase la configuration locale utilis\u00e9e pour le d\u00e9ploiement du ransomware<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Exec<\/span><\/td>\n<td style=\"width: 86.7488%;\">Lance le d\u00e9ploiement du ransomware, modifie le mot de passe root, d\u00e9sactive la gestion distante de vCenter via la commande <span style=\"font-family: 'courier new', courier, monospace;\">\/etc\/init.d\/vpxa<\/span> stop et d\u00e9marre le chiffrement des VM<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Info<\/span><\/td>\n<td style=\"width: 86.7488%;\">R\u00e9cup\u00e8re des informations sur l\u2019h\u00f4te\u00a0ESXi<\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Run<\/span><\/td>\n<td style=\"width: 86.7488%;\">Ex\u00e9cute des commandes arbitraires sur l\u2019h\u00f4te\u00a0ESXi en \u00e9crivant dans le fichier <span style=\"font-family: 'courier new', courier, monospace;\">.\/shmv<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Remove<\/span><\/td>\n<td style=\"width: 86.7488%;\">Supprime du contenu sur l\u2019h\u00f4te\u00a0ESXi en ex\u00e9cutant la commande <span style=\"font-family: 'courier new', courier, monospace;\">rm -rf <em>[nom de fichier ou chemin]<\/em><\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Quit<\/span><\/td>\n<td style=\"width: 86.7488%;\">Termine et supprime le binaire MrAgent \u00e0 l\u2019aide de la commande <span style=\"font-family: 'courier new', courier, monospace;\">rm -f<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 12.6348%;\"><span style=\"font-family: 'courier new', courier, monospace;\">Welcome<\/span><\/td>\n<td style=\"width: 86.7488%;\">D\u00e9finit le message d\u2019accueil\u00a0ESXi sur l\u2019h\u00f4te via la commande <span style=\"font-family: 'courier new', courier, monospace;\">esxcli system welcomemesg set -m=\"<em>[texte du message]<\/em>\"<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a01. Exemples d\u2019instructions envoy\u00e9es \u00e0 MrAgent depuis le serveur CnC de l\u2019attaquant.<\/span><\/p>\n<p>Ces fonctions permettent \u00e0 MrAgent de d\u00e9ployer le chiffreur\u00a0Mario.<\/p>\n<h3><a id=\"post-169335-_uzh2b8cepkg8\"><\/a><strong>Caract\u00e9ristiques<\/strong><\/h3>\n<p>Afin de compliquer l\u2019analyse de r\u00e9tro-ing\u00e9nierie, le binaire\u00a0MrAgent est parfois modifi\u00e9 par l\u2019ajout de code superflu \u2013\u00a0mais cette obfuscation basique n\u2019alt\u00e8re pas ses op\u00e9rations fondamentales. Pour la <a href=\"https:\/\/campus.barracuda.com\/product\/managedworkplace\/doc\/497818099\/performing-guest-state-management-in-vmware\" target=\"_blank\" rel=\"noopener\">gestion de l\u2019\u00e9tat<\/a> de l\u2019environnement compromis, MrAgent utilise deux structures\u00a0JSON internes afin de stocker sa configuration d\u2019ex\u00e9cution et son \u00e9tat, l\u2019acc\u00e8s \u00e0 ces donn\u00e9es \u00e9tant synchronis\u00e9 au moyen d\u2019un mutex.<\/p>\n<h2><a id=\"post-169335-_xml9k6jn1dub\"><\/a>Mario\u00a0: le chiffreur de RansomHouse<\/h2>\n<p>MrAgent d\u00e9ploie Mario afin de remplir la fonction centrale de l\u2019op\u00e9ration, \u00e0 savoir le chiffrement de fichiers critiques des VM au niveau de l\u2019hyperviseur\u00a0ESXi. Nos recherches ont mis en \u00e9vidence deux versions distinctes de Mario, r\u00e9v\u00e9lant une \u00e9volution de ses m\u00e9thodes de chiffrement.<\/p>\n<p>Les deux versions suivent le m\u00eame sch\u00e9ma d\u2019ex\u00e9cution global\u00a0:<\/p>\n<ol>\n<li>Cr\u00e9ation de la note de ran\u00e7on<\/li>\n<li>Ciblage des extensions de fichiers<\/li>\n<li>Chiffrement des fichiers<\/li>\n<li>Rapport des statistiques<\/li>\n<\/ol>\n<h3><a id=\"post-169335-_y3bob8xx780\"><\/a><strong>Cr\u00e9ation de la note de ran\u00e7on<\/strong><\/h3>\n<p>La premi\u00e8re \u00e9tape du sch\u00e9ma d\u2019ex\u00e9cution de Mario consiste \u00e0 cr\u00e9er une note de ran\u00e7on. Cette note, nomm\u00e9e \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">How To Restore Your Files.txt\u00a0<\/span>\u00bb, est plac\u00e9e dans le r\u00e9pertoire de chaque fichier chiffr\u00e9.<\/p>\n<p>Mario ouvre la note de ran\u00e7on en mode \u00e9criture et y enregistre un texte fournissant aux victimes des instructions pour r\u00e9cup\u00e9rer leurs fichiers. La Figure\u00a03 ci-dessous pr\u00e9sente un exemple de cette note.<\/p>\n<figure id=\"attachment_169358\" aria-describedby=\"caption-attachment-169358\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169358 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3.png\" alt=\"Note de ran\u00e7on de RansomHouse. Image d\u2019un fichier texte intitul\u00e9 \u00ab\u00a0How To Restore Your Files.txt\u00a0\u00bb, ouvert dans le Bloc-notes, contenant une illustration\u00a0ASCII de Super\u00a0Mario accompagn\u00e9e d\u2019instructions invitant \u00e0 contacter une adresse e-mail et un canal Telegram, avec un avis de ransomware \u00e9mis par le groupe RansomHouse.\" width=\"1000\" height=\"731\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3-602x440.png 602w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3-957x700.png 957w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3-768x562.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-508660-169335-3-1536x1124.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169358\" class=\"wp-caption-text\">Figure\u00a03. Exemple de note de ran\u00e7on g\u00e9n\u00e9r\u00e9e par un <a href=\"https:\/\/www.virustotal.com\/gui\/file\/0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8\" target=\"_blank\" rel=\"noopener\">\u00e9chantillon de Mario<\/a>.<\/figcaption><\/figure>\n<h3><a id=\"post-169335-_ylc1gm66x13b\"><\/a><strong>Ciblage des extensions de fichiers<\/strong><\/h3>\n<p>L\u2019\u00e9tape suivante consiste \u00e0 parcourir les r\u00e9pertoires et \u00e0 cibler certaines extensions. Mario exige que les attaquants sp\u00e9cifient le chemin du r\u00e9pertoire contenant les fichiers \u00e0 chiffrer. Au sein du r\u00e9pertoire sp\u00e9cifi\u00e9, Mario cible des fichiers li\u00e9s \u00e0 la virtualisation en fonction des extensions de nom de fichier r\u00e9pertori\u00e9es dans le Tableau\u00a02.<\/p>\n<table style=\"width: 95.1455%; height: 264px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; text-align: center; height: 24px;\"><strong>Extension<\/strong><\/td>\n<td style=\"width: 109.976%; text-align: center; height: 24px;\"><strong>Description du fichier<\/strong><\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">ova<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Open Virtual Appliance\u00a0(OVA)\u00a0: distribution monofichier d\u2019un package de fichiers\u00a0OVF<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">ovf<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Open Virtualization Format\u00a0(OVF)\u00a0: standard ouvert destin\u00e9 \u00e0 l\u2019empaquetage et \u00e0 la distribution de logiciels virtualis\u00e9s<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vbk<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Fichier <a href=\"https:\/\/www.veeam.com\/products\/virtual\/vmware-backup-recovery.html\" target=\"_blank\" rel=\"noopener\">Veeam<\/a> Backup\u00a0(VBK)\u00a0: stocke des copies de sauvegarde des donn\u00e9es d\u2019une VM \u00e0 un instant donn\u00e9<\/td>\n<\/tr>\n<tr style=\"height: 23px;\">\n<td style=\"width: 10.5121%; height: 23px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vbm<\/span><\/td>\n<td style=\"width: 109.976%; height: 23px;\">Fichier Veeam Backup Metadata\u00a0(VBM)\u00a0: stocke des m\u00e9tadonn\u00e9es relatives \u00e0 un fichier\u00a0VBK<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vib<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">VMware Installation Bundle\u00a0(VIB)\u00a0: fichier de package utilis\u00e9 pour l\u2019installation ou la mise \u00e0 niveau d\u2019h\u00f4tes\u00a0ESXi<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmdk<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Fichier Virtual Machine Disk\u00a0(VMDK)\u00a0: utilis\u00e9 par des machines virtuelles telles que VMware ou VirtualBox<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmem<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Fichier VMware Memory\u00a0(VMEM)\u00a0: copie du contenu de la m\u00e9moire vive d\u2019une VM \u00e0 partir du syst\u00e8me h\u00f4te<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmsd<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Fichier VMware Snapshot Metadata\u00a0(VMSD)\u00a0: stocke les m\u00e9tadonn\u00e9es associ\u00e9es \u00e0 chaque snapshot de VM<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 10.5121%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vmsn<\/span><\/td>\n<td style=\"width: 109.976%; height: 25px;\">Fichier VMware Snapshot State\u00a0(VMSN)\u00a0: stocke l\u2019\u00e9tat d\u2019ex\u00e9cution d\u2019une VM au moment de la cr\u00e9ation du snapshot<\/td>\n<\/tr>\n<tr style=\"height: 24px;\">\n<td style=\"width: 10.5121%; height: 24px;\"><span style=\"font-family: 'courier new', courier, monospace;\">vswp<\/span><\/td>\n<td style=\"width: 109.976%; height: 24px;\">Fichier VMware Swap\u00a0(VSWP)\u00a0: permet l\u2019\u00e9change de pages m\u00e9moire vers le disque dur lorsqu\u2019un h\u00f4te manque de m\u00e9moire physique<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tableau\u00a02. Extensions de fichiers cibl\u00e9es par Mario.<\/span><\/p>\n<p>Mario parcourt l\u2019ensemble des fichiers pr\u00e9sents dans le chemin de r\u00e9pertoire sp\u00e9cifi\u00e9 afin de v\u00e9rifier la pr\u00e9sence des extensions cibl\u00e9es. Au cours de ce processus d\u2019it\u00e9ration, Mario ignore certaines entr\u00e9es du r\u00e9pertoire, telles que \u00ab\u00a0.\u00a0\u00bb (r\u00e9pertoire courant) et \u00ab\u00a0..\u00a0\u00bb (r\u00e9pertoire parent).<\/p>\n<p>Le chiffreur ignore \u00e9galement les fichiers dont le nom contient l\u2019une des cha\u00eenes suivantes, quel que soit l\u2019emplacement de la cha\u00eene dans le nom du fichier, m\u00eame si celui-ci comporte une extension cibl\u00e9e\u00a0:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.marion<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.emario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.lmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.nmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.mmario<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">.wmario<\/span><\/li>\n<\/ul>\n<p>Cette exclusion vise probablement \u00e0 \u00e9viter un double chiffrement des fichiers, ce qui pourrait entra\u00eener leur corruption et les rendre irr\u00e9cup\u00e9rables.<\/p>\n<p>La Figure\u00a04 illustre les extensions r\u00e9pertori\u00e9es dans le Tableau\u00a02 lors des tests r\u00e9alis\u00e9s sur un <a href=\"https:\/\/www.virustotal.com\/gui\/file\/0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8\/details\" target=\"_blank\" rel=\"noopener\">\u00e9chantillon de Mario<\/a> d\u00e9couvert plus t\u00f4t cette ann\u00e9e.<\/p>\n<figure id=\"attachment_169369\" aria-describedby=\"caption-attachment-169369\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169369 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-512240-169335-4.png\" alt=\"\u00c9cran de terminal montrant l\u2019ex\u00e9cution d\u2019un programme nomm\u00e9 \u00ab\u00a0e_mario.out\u00a0\u00bb ex\u00e9cutant un processus de chiffrement sur diff\u00e9rents fichiers, avec des extensions telles que vmsn, vbm, vmdk, vmxf, vsv, vmsd et vswp.\" width=\"600\" height=\"428\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-512240-169335-4.png 1390w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-512240-169335-4-617x440.png 617w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-512240-169335-4-981x700.png 981w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-512240-169335-4-768x548.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169369\" class=\"wp-caption-text\">Figure 4. \u00c9chantillon de Mario ciblant des extensions de fichiers associ\u00e9es \u00e0 la virtualisation.<\/figcaption><\/figure>\n<p>Le ciblage de l\u2019infrastructure virtualis\u00e9e et des sauvegardes d\u2019une organisation constitue une tactique bien connue de RansomHouse. Ces deux approches visent \u00e0 entraver la r\u00e9cup\u00e9ration des donn\u00e9es si la victime refuse de payer la ran\u00e7on.<\/p>\n<h3><a id=\"post-169335-_ttnuraiywpcs\"><\/a><strong>Chiffrement des fichiers<\/strong><\/h3>\n<p>Lors du chiffrement des fichiers cibl\u00e9s, Mario affiche la progression de l\u2019op\u00e9ration, comme illustr\u00e9 dans la Figure\u00a04 ci-dessus. Les fichiers chiffr\u00e9s sont renomm\u00e9s par l\u2019ajout d\u2019une extension, qui inclut la cha\u00eene \u00ab\u00a0mario\u00a0\u00bb. La Figure\u00a05 pr\u00e9sente un exemple de l\u2019extension \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">.emario\u00a0<\/span>\u00bb appliqu\u00e9e aux fichiers chiffr\u00e9s apr\u00e8s l\u2019ex\u00e9cution d\u2019un \u00e9chantillon de Mario.<\/p>\n<figure id=\"attachment_169380\" aria-describedby=\"caption-attachment-169380\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169380 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-514649-169335-5.png\" alt=\"Capture d\u2019\u00e9cran d\u2019une fen\u00eatre de terminal affichant la sortie de la commande \u00ab\u00a0ls -a\u00a0\u00bb, listant diff\u00e9rents fichiers, dont certains comportent le suffixe \u00ab\u00a0.emario\u00a0\u00bb. Le r\u00e9pertoire nomm\u00e9 \u00ab\u00a0test_subdirectory\u00a0\u00bb appara\u00eet en bleu.\" width=\"600\" height=\"549\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-514649-169335-5.png 1026w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-514649-169335-5-481x440.png 481w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-514649-169335-5-766x700.png 766w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-514649-169335-5-768x702.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169380\" class=\"wp-caption-text\">Figure\u00a05. L\u2019affichage du contenu du r\u00e9pertoire r\u00e9v\u00e8le des fichiers chiffr\u00e9s portant l\u2019extension \u00ab\u00a0<span style=\"font-family: 'courier new', courier, monospace;\">.emario<\/span>\u00a0\u00bb.<\/figcaption><\/figure>\n<h3><a id=\"post-169335-_taw4ld6vpfvo\"><\/a><strong>Rapports des statistiques<\/strong><\/h3>\n<p>Une fois le chiffrement des fichiers cibl\u00e9s termin\u00e9, Mario affiche des statistiques relatives aux r\u00e9sultats du chiffrement. Ces statistiques, pr\u00e9sent\u00e9es dans l\u2019ordre, sont les suivantes\u00a0:<\/p>\n<ul>\n<li>Le nombre de fichiers qui n\u2019ont pas pu \u00eatre chiffr\u00e9s<\/li>\n<li>Le nombre de fichiers chiffr\u00e9s<\/li>\n<li>Le nombre de fichiers ignor\u00e9s<\/li>\n<li>Le nombre total de fichiers<\/li>\n<li>Le volume de donn\u00e9es chiffr\u00e9es<\/li>\n<\/ul>\n<p>La Figure\u00a06 pr\u00e9sente un exemple de rapport de statistiques apr\u00e8s l\u2019ex\u00e9cution d\u2019un \u00e9chantillon de Mario.<\/p>\n<figure id=\"attachment_169391\" aria-describedby=\"caption-attachment-169391\" style=\"width: 600px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169391 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-516665-169335-6.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un terminal affichant la sortie d\u2019un processus de d\u00e9chiffrement de fichiers, avec des statistiques listant notamment le nombre de fichiers chiffr\u00e9s trait\u00e9s, les fichiers ignor\u00e9s et le volume total de donn\u00e9es test\u00e9.\" width=\"600\" height=\"405\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-516665-169335-6.png 1390w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-516665-169335-6-652x440.png 652w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-516665-169335-6-1037x700.png 1037w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-516665-169335-6-768x518.png 768w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/><figcaption id=\"caption-attachment-169391\" class=\"wp-caption-text\">Figure 6. Exemple d\u2019un \u00e9chantillon de Mario pr\u00e9sentant ses statistiques de chiffrement.<\/figcaption><\/figure>\n<p>Bien que tous les \u00e9chantillons connus de Mario suivent le m\u00eame sch\u00e9ma d\u2019ex\u00e9cution, le processus est plus complexe dans les derniers \u00e9chantillons. La section suivante examine les diff\u00e9rences entre l\u2019ancienne version de Mario et la plus r\u00e9cente, mettant en \u00e9vidence une \u00e9volution de ses m\u00e9thodes de chiffrement.<\/p>\n<h2><a id=\"post-169335-_tykdven1nlvj\"><\/a>Chiffrement am\u00e9lior\u00e9 de Mario<\/h2>\n<p>Nous avons identifi\u00e9 deux versions de Mario sur la base des diff\u00e9rences observ\u00e9es dans les routines de chiffrement des \u00e9chantillons actuellement connus. La comparaison de ces deux versions montre que les d\u00e9veloppeurs ont mis \u00e0 jour Mario pour obtenir une m\u00e9thode de chiffrement nettement plus complexe. Nous d\u00e9signons ces deux versions comme suit\u00a0:<\/p>\n<ul>\n<li>Version originale<\/li>\n<li>Version am\u00e9lior\u00e9e<\/li>\n<\/ul>\n<p>En comparant les blocs de code d\u00e9sassembl\u00e9 associ\u00e9s aux routines de chiffrement, on observe une complexit\u00e9 sensiblement plus \u00e9lev\u00e9e dans la version am\u00e9lior\u00e9e. La Figure\u00a07 compare les blocs de code de chiffrement de ces deux versions et met en \u00e9vidence un nombre nettement plus important de sections dans la version am\u00e9lior\u00e9e\u00a0(\u00e0 droite) que dans la version originale\u00a0(\u00e0 gauche).<\/p>\n<figure id=\"attachment_169402\" aria-describedby=\"caption-attachment-169402\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169402 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7.png\" alt=\"Comparaison de blocs de code de chiffrement entre un \u00e9chantillon de la version originale de Mario (\u00e0 gauche) et une version am\u00e9lior\u00e9e (\u00e0 droite). Des lignes et des blocs apparaissent en vert.\" width=\"900\" height=\"1070\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7.png 1722w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7-370x440.png 370w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7-589x700.png 589w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7-768x913.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-518815-169335-7-1292x1536.png 1292w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169402\" class=\"wp-caption-text\">Figure 7. Comparaison de blocs de code de chiffrement entre les versions originale et am\u00e9lior\u00e9e de Mario.<\/figcaption><\/figure>\n<p>Afin d\u2019illustrer l\u2019\u00e9volution du chiffrement de Mario, nous comparons le code d\u2019\u00e9chantillons des deux versions pour les fonctions suivantes\u00a0:<\/p>\n<ul>\n<li>Chiffrement<\/li>\n<li>Organisation de la m\u00e9moire et gestion des buffers<\/li>\n<li>Traitement des fichiers<\/li>\n<li>Format de sortie<\/li>\n<\/ul>\n<p>Les am\u00e9liorations apport\u00e9es \u00e0 ces fonctions rendent la version am\u00e9lior\u00e9e de Mario nettement plus efficace et plus r\u00e9sistante \u00e0 l\u2019analyse que la version originale.<\/p>\n<h3><a id=\"post-169335-_u450tnyywr6g\"><\/a><strong>Chiffrement<\/strong><\/h3>\n<p>La version originale de Mario repose sur une routine de chiffrement simple et \u00e9l\u00e9mentaire. La Figure\u00a08 pr\u00e9sente du code d\u00e9sassembl\u00e9 issu de la version originale. Ce code effectue un passage unique afin de transformer les donn\u00e9es d\u2019un fichier de l\u2019\u00e9tat \u00ab\u00a0non chiffr\u00e9\u00a0\u00bb \u00e0 \u00ab\u00a0chiffr\u00e9\u00a0\u00bb.<\/p>\n<figure id=\"attachment_169413\" aria-describedby=\"caption-attachment-169413\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169413 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8.png\" alt=\"Capture d\u2019\u00e9cran de code de programmation dans un IDE, pr\u00e9sentant plusieurs lignes de langage assembleur accompagn\u00e9es d\u2019annotations expliquant chaque partie du code. Le code inclut notamment des op\u00e9rations de mise en m\u00e9moire et de configuration des transformations.\" width=\"1000\" height=\"563\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8.png 2012w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8-782x440.png 782w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8-1244x700.png 1244w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8-768x432.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-521808-169335-8-1536x864.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169413\" class=\"wp-caption-text\">Figure 8. Code d\u00e9sassembl\u00e9 de la transformation des fichiers en un seul passage dans la version originale.<\/figcaption><\/figure>\n<p>\u00c0 l\u2019inverse, la version am\u00e9lior\u00e9e de Mario met en \u0153uvre une transformation des fichiers en deux \u00e9tapes, int\u00e9grant une cl\u00e9 de chiffrement secondaire. La Figure\u00a09 pr\u00e9sente du code d\u00e9sassembl\u00e9 provenant d\u2019un \u00e9chantillon de la version am\u00e9lior\u00e9e de Mario, mettant en \u00e9vidence ce processus de chiffrement plus complexe.<\/p>\n<figure id=\"attachment_169424\" aria-describedby=\"caption-attachment-169424\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169424 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9.png\" alt=\"Capture d\u2019\u00e9cran affichant du code dans un IDE, accompagn\u00e9e d\u2019annotations expliquant les principales \u00e9tapes du chiffrement, ainsi que d\u2019un sch\u00e9ma de flux illustrant les \u00e9tapes de traitement des donn\u00e9es dans l\u2019angle inf\u00e9rieur droit.\" width=\"1000\" height=\"542\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9-786x426.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9-1292x700.png 1292w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9-768x416.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-525352-169335-9-1536x833.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169424\" class=\"wp-caption-text\">Figure 9. Code d\u00e9sassembl\u00e9 mettant en \u00e9vidence la transformation des fichiers plus complexe de la version am\u00e9lior\u00e9e.<\/figcaption><\/figure>\n<p>Le code de la version am\u00e9lior\u00e9e r\u00e9v\u00e8le un sch\u00e9ma de chiffrement \u00e0 deux facteurs, dans lequel le fichier est chiffr\u00e9 \u00e0 l\u2019aide d\u2019une cl\u00e9 principale et d\u2019une cl\u00e9 secondaire. Le chiffrement des donn\u00e9es est trait\u00e9 s\u00e9par\u00e9ment pour chaque cl\u00e9. Cette approche accro\u00eet consid\u00e9rablement la difficult\u00e9 de d\u00e9chiffrer les donn\u00e9es sans les deux cl\u00e9s.<\/p>\n<p>La Figure\u00a010 montre que la version am\u00e9lior\u00e9e de Mario utilise des valeurs al\u00e9atoires pour g\u00e9n\u00e9rer une cl\u00e9 de chiffrement principale de 32\u00a0octets, ainsi qu\u2019une cl\u00e9 de chiffrement secondaire de 8\u00a0octets.<\/p>\n<figure id=\"attachment_169435\" aria-describedby=\"caption-attachment-169435\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169435 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10.png\" alt=\"Capture d\u2019\u00e9cran d\u2019un extrait de code pr\u00e9sentant diverses instructions en langage assembleur li\u00e9es \u00e0 des op\u00e9rations cryptographiques, telles que la g\u00e9n\u00e9ration d\u2019entropie et la gestion des cl\u00e9s. Le code inclut des commentaires visant \u00e0 clarifier la fonctionnalit\u00e9 de chaque ligne.\" width=\"1000\" height=\"446\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10.png 1938w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10-786x350.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10-1570x700.png 1570w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10-768x342.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-528900-169335-10-1536x685.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169435\" class=\"wp-caption-text\">Figure 10. Code d\u00e9sassembl\u00e9 montrant la g\u00e9n\u00e9ration de cl\u00e9s utilis\u00e9e par la version am\u00e9lior\u00e9e de Mario.<\/figcaption><\/figure>\n<p>Ces changements constituent une \u00e9volution significative du chiffrement de Mario.<\/p>\n<h3><a id=\"post-169335-_4zwx9ssvv5xt\"><\/a><strong>Organisation de la m\u00e9moire et gestion des buffers<\/strong><\/h3>\n<p>Lorsqu\u2019on aborde l\u2019organisation de la m\u00e9moire et la gestion des buffers, il est n\u00e9cessaire de comprendre les notions de \u00ab\u00a0<a href=\"https:\/\/learn.microsoft.com\/en-us\/visualstudio\/extensibility\/debugger\/stack-frames\" target=\"_blank\" rel=\"noopener\">stack frames<\/a>\u00a0\u00bb et de buffers. Dans ce contexte, les buffers correspondent \u00e0 des portions du stack frame (ou \u00ab\u00a0cadre de pile\u00a0\u00bb) d\u00e9finies par une valeur offset (\u00ab\u00a0d\u00e9calage\u00a0\u00bb).<\/p>\n<p>La version originale de Mario utilise les cadres de pile et valeurs de buffers suivants lors de son processus de chiffrement\u00a0:<\/p>\n<ul>\n<li>Taille du cadre de pile de la version originale\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">0x1408<\/span>\u00a0octets<\/li>\n<li>Offsets des buffers de cl\u00e9s\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">var_1400<\/span> (cl\u00e9 principale), <span style=\"font-family: 'courier new', courier, monospace;\">var_130<\/span> (transformation)<\/li>\n<li>Taille des blocs\u00a0: fix\u00e9e \u00e0 <span style=\"font-family: 'courier new', courier, monospace;\">0xA00000<\/span>, sans ajustement dynamique<\/li>\n<\/ul>\n<p>Cela refl\u00e8te un processus relativement simple et lin\u00e9aire de transformation des fichiers vers un \u00e9tat chiffr\u00e9. En revanche, les valeurs des cadres de pile et des buffers de la version am\u00e9lior\u00e9e de Mario r\u00e9v\u00e8lent une structure plus complexe, mais \u00e9galement plus compacte et plus efficace\u00a0:<\/p>\n<ul>\n<li>Taille du cadre de pile de la version am\u00e9lior\u00e9e\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">0x1268<\/span>\u00a0octets<\/li>\n<li>Offsets de buffers multiples\u00a0:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_1150<\/span>\u00a0: contexte de chiffrement principal<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_A0<\/span>\u00a0: buffer interm\u00e9diaire de transformation<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_20<\/span>\u00a0: stockage de la cl\u00e9 secondaire (8\u00a0octets)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">var_40<\/span>\u00a0: stockage de l\u2019en-t\u00eate des fichiers chiffr\u00e9s<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Ces valeurs de cadres de pile et de buffers sont utilis\u00e9es dans un processus au cours duquel\u00a0:<\/p>\n<ul>\n<li>Les donn\u00e9es initiales sont lues dans le buffer principal (<span style=\"font-family: 'courier new', courier, monospace;\">ptr<\/span>)<\/li>\n<li>Les donn\u00e9es sont transform\u00e9es \u00e0 l\u2019aide de la cl\u00e9 principale stock\u00e9e dans <span style=\"font-family: 'courier new', courier, monospace;\">var_1150<\/span><\/li>\n<li>Elles sont ensuite trait\u00e9es \u00e0 l\u2019aide de la cl\u00e9 secondaire stock\u00e9e dans <span style=\"font-family: 'courier new', courier, monospace;\">var_20<\/span><\/li>\n<li>Les donn\u00e9es chiffr\u00e9es finales incluent un en-t\u00eate provenant de <span style=\"font-family: 'courier new', courier, monospace;\">var_40<\/span><\/li>\n<\/ul>\n<p>L\u2019organisation rigoureuse de ces buffers confirme l\u2019approche multi-couches adopt\u00e9e par la version am\u00e9lior\u00e9e de Mario.<\/p>\n<h3><a id=\"post-169335-_y35xpu65svqi\"><\/a><strong>Traitement des fichiers<\/strong><\/h3>\n<p>La version originale de Mario adopte une approche simple du traitement des fichiers. Il s\u2019agit d\u2019un processus lin\u00e9aire qui chiffre les fichiers sous forme de segments s\u00e9quentiels de taille fixe au sein d\u2019une boucle. Apr\u00e8s le chiffrement de chaque segment, le code v\u00e9rifie si la taille cumul\u00e9e des segments trait\u00e9s d\u00e9passe un seuil sp\u00e9cifi\u00e9. Une fois ce seuil franchi, le code quitte la boucle pour basculer vers une autre fonction.<\/p>\n<p>La Figure\u00a011 illustre ce processus lin\u00e9aire dans le code d\u00e9sassembl\u00e9.<\/p>\n<figure id=\"attachment_169446\" aria-describedby=\"caption-attachment-169446\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169446 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11.png\" alt=\"Capture d\u2019\u00e9cran de code affich\u00e9 dans un IDE, pr\u00e9sentant des lignes relatives \u00e0 la comparaison de la taille des fichiers et \u00e0 des sauts conditionnels, accompagn\u00e9es de commentaires.\" width=\"1000\" height=\"268\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11-786x211.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11-1920x515.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11-768x206.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-531791-169335-11-1536x412.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169446\" class=\"wp-caption-text\">Figure 11. Code d\u00e9sassembl\u00e9 illustrant un processus lin\u00e9aire de chiffrement dans la version originale de Mario.<\/figcaption><\/figure>\n<p>Le code de la version am\u00e9lior\u00e9e de Mario r\u00e9v\u00e8le une m\u00e9thode de chiffrement reposant sur un traitement par blocs (chunks) \u00e0 taille dynamique. La Figure\u00a012 en pr\u00e9sente un exemple.<\/p>\n<figure id=\"attachment_169457\" aria-describedby=\"caption-attachment-169457\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169457 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12.png\" alt=\"Capture d\u2019\u00e9cran de code en langage assembleur affich\u00e9 dans un \u00e9diteur de texte, avec une syntaxe mise en \u00e9vidence. Le code comprend diff\u00e9rentes op\u00e9rations, telles que des d\u00e9placements, des d\u00e9calages et des multiplications, appliqu\u00e9es \u00e0 des registres et \u00e0 des constantes.\" width=\"900\" height=\"1286\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12.png 1433w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12-308x440.png 308w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12-490x700.png 490w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12-768x1098.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-534526-169335-12-1075x1536.png 1075w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-169457\" class=\"wp-caption-text\">Figure 12. Code d\u00e9sassembl\u00e9 illustrant un traitement par blocs avec boucle dynamique pour le chiffrement dans la version am\u00e9lior\u00e9e de Mario.<\/figcaption><\/figure>\n<p>En comparant la logique de traitement entre ces deux versions, on observe des diff\u00e9rences significatives.<\/p>\n<p>La version originale de Mario utilise une boucle de programmation plus simple, qui traite les fichiers sous forme de segments de taille fixe jusqu\u2019\u00e0 un seuil de 536\u00a0870\u00a0911\u00a0octets, comme indiqu\u00e9 \u00e0 la Figure\u00a011. Cette version se contente d\u2019indiquer la fin du chiffrement, sans afficher de progression.<\/p>\n<p>\u00c0 l\u2019inverse, la version am\u00e9lior\u00e9e de Mario met en \u0153uvre un sch\u00e9ma de traitement des fichiers pour le chiffrement nettement plus robuste, reposant sur les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n<ul>\n<li>Des segments de taille variable, avec un seuil de taille fix\u00e9 \u00e0 8\u00a0Go<\/li>\n<li>Des calculs permettant de d\u00e9terminer la taille des blocs et leurs d\u00e9calages (offsets)<\/li>\n<li>Une technique de chiffrement parcimonieux, consistant \u00e0 ne chiffrer que certains blocs d\u2019un fichier \u00e0 des offsets sp\u00e9cifiques<\/li>\n<\/ul>\n<p>En outre, la version am\u00e9lior\u00e9e de Mario affiche la progression du chiffrement des blocs de chaque fichier, comme illustr\u00e9 \u00e0 la Figure\u00a013 ci-dessous.<\/p>\n<figure id=\"attachment_169468\" aria-describedby=\"caption-attachment-169468\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169468 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13.png\" alt=\"Capture d\u2019\u00e9cran de code affich\u00e9 sur fond sombre avec coloration syntaxique, indiquant diff\u00e9rentes variables ainsi qu\u2019une cha\u00eene de caract\u00e8res incluant \u00ab\u00a0Processed chunk\u00a0\u00bb. \" width=\"1000\" height=\"93\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13-786x73.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13-1920x179.png 1920w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13-768x72.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-538638-169335-13-1536x143.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-169468\" class=\"wp-caption-text\">Figure 13. Code d\u00e9sassembl\u00e9 de la version am\u00e9lior\u00e9e de Mario permettant d\u2019afficher la progression du traitement par blocs.<\/figcaption><\/figure>\n<p>Le traitement par blocs de la version am\u00e9lior\u00e9e de Mario complique l\u2019analyse statique pour plusieurs raisons\u00a0:<\/p>\n<ul>\n<li>Les fichiers sont trait\u00e9s de mani\u00e8re non lin\u00e9aire<\/li>\n<li>Des formules math\u00e9matiques complexes sont utilis\u00e9es pour d\u00e9terminer l\u2019ordre de traitement<\/li>\n<li>Des strat\u00e9gies diff\u00e9rentes sont appliqu\u00e9es en fonction de la taille des fichiers<\/li>\n<\/ul>\n<h3><a id=\"post-169335-_e848oy40yxnv\"><\/a><strong>Format de sortie<\/strong><\/h3>\n<p>Outre l\u2019affichage des blocs de fichiers trait\u00e9s lors du chiffrement, la version am\u00e9lior\u00e9e de Mario fournit \u00e9galement un r\u00e9capitulatif plus d\u00e9taill\u00e9 une fois le chiffrement de chaque fichier termin\u00e9.<\/p>\n<p>Comme indiqu\u00e9 pr\u00e9c\u00e9demment, la version originale se contente d\u2019indiquer que le chiffrement d\u2019un fichier est termin\u00e9. La Figure\u00a014 illustre cet aspect dans le code d\u00e9sassembl\u00e9.<\/p>\n<figure id=\"attachment_169479\" aria-describedby=\"caption-attachment-169479\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169479 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-540817-169335-14.png\" alt=\"Capture d\u2019\u00e9cran de code avec coloration syntaxique, pr\u00e9sentant diff\u00e9rentes commandes et une variable nomm\u00e9e \u00ab\u00a0aDoneS\u00a0\u00bb. Le texte est affich\u00e9 sur fond sombre, avec des \u00e9l\u00e9ments qui apparaissent en violet et en orange.\" width=\"800\" height=\"116\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-540817-169335-14.png 1128w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-540817-169335-14-786x114.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-540817-169335-14-768x112.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-169479\" class=\"wp-caption-text\">Figure 14. Code issu de la version originale de Mario signalant la fin du traitement d\u2019un fichier.<\/figcaption><\/figure>\n<p>La version am\u00e9lior\u00e9e de Mario fournit davantage d\u2019informations une fois le traitement de chaque fichier termin\u00e9, comme l\u2019illustre le code d\u00e9sassembl\u00e9 pr\u00e9sent\u00e9 en Figure\u00a015 (ci-dessous).<\/p>\n<figure id=\"attachment_169490\" aria-describedby=\"caption-attachment-169490\" style=\"width: 700px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-169490 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-542653-169335-15.png\" alt=\"Capture d\u2019\u00e9cran de code affich\u00e9 dans un IDE, mettant en \u00e9vidence la commande \u00ab\u00a0aDoneSLdLdLdLd\u00a0\u00bb dans un encadr\u00e9 violet.\" width=\"700\" height=\"56\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-542653-169335-15.png 1708w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-542653-169335-15-786x63.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-542653-169335-15-768x61.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-542653-169335-15-1536x122.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><figcaption id=\"caption-attachment-169490\" class=\"wp-caption-text\">Figure\u00a015. Code issu de la version am\u00e9lior\u00e9e de Mario signalant la fin du traitement d\u2019un fichier.<\/figcaption><\/figure>\n<p>En d\u00e9finitive, la fonctionnalit\u00e9 de base de ces deux \u00e9chantillons de Mario (la version originale et la version am\u00e9lior\u00e9e) demeure identique. Les deux \u00e9chantillons chiffrent les fichiers et les renomment en ajoutant l\u2019extension \u00ab\u00a0.emario\u00a0\u00bb. Toutefois, la version am\u00e9lior\u00e9e met en \u0153uvre une m\u00e9thodologie de chiffrement plus complexe et potentiellement plus robuste, reposant sur un traitement s\u00e9lectif des fichiers.<\/p>\n<h2><a id=\"post-169335-_xzylt0gjnup2\"><\/a>Conclusion<\/h2>\n<p>L\u2019\u00e9volution du chiffrement utilis\u00e9e par le RaaS de RansomHouse, qui passe d\u2019un mod\u00e8le lin\u00e9aire simple \u00e0 une approche plus complexe et multicouche, t\u00e9moigne d\u2019une trajectoire pr\u00e9occupante dans le d\u00e9veloppement des ransomwares. Elle illustre la mani\u00e8re dont les acteurs de la menace font \u00e9voluer leurs techniques afin d\u2019en accro\u00eetre l\u2019efficacit\u00e9.<\/p>\n<p>Cette \u00e9volution repose sur plusieurs am\u00e9liorations techniques cl\u00e9s\u00a0:<\/p>\n<ul>\n<li>Un sch\u00e9ma de chiffrement \u00e0 deux facteurs qui accro\u00eet consid\u00e9rablement la difficult\u00e9 du d\u00e9chiffrement en l\u2019absence des deux cl\u00e9s<\/li>\n<li>Un traitement des fichiers par blocs \u00e0 taille dynamique, en remplacement d\u2019une m\u00e9thode plus simple<\/li>\n<li>Un nouveau mode de traitement des fichiers qui rend l\u2019analyse statique et la r\u00e9tro-ing\u00e9nierie plus complexes<\/li>\n<\/ul>\n<p>Les acteurs de la menace pourraient consid\u00e9rer cette approche comme une voie pertinente pour le d\u00e9veloppement de futures variantes de ransomware. \u00c0 mesure que d\u2019autres groupes de ransomware adopteront ces m\u00e9thodes plus sophistiqu\u00e9es, le paysage des menaces deviendra plus r\u00e9silient face aux contr\u00f4les de s\u00e9curit\u00e9. Cette \u00e9volution souligne la n\u00e9cessit\u00e9 d\u2019adopter des strat\u00e9gies plus dynamiques et adaptatives, en mesure de contrer la prochaine g\u00e9n\u00e9ration de cybermenaces complexes et \u00e9vasives.<\/p>\n<p>Les clients de Palo\u00a0Alto\u00a0Networks sont mieux prot\u00e9g\u00e9s contre les menaces mentionn\u00e9es ci-dessus gr\u00e2ce aux produits suivants\u00a0:<\/p>\n<ul>\n<li>Les mod\u00e8les de Machine\u00a0Learning d\u2019<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced\u00a0WildFire<\/a> ont \u00e9t\u00e9 mis \u00e0 jour sur la base des indicateurs de compromission (IoC) identifi\u00e9s dans cette recherche.<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex\u00a0Xpanse<\/a> et le <a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xsiam\" target=\"_blank\" rel=\"noopener\">module compl\u00e9mentaire\u00a0ASM pour XSIAM<\/a> permettent de d\u00e9tecter des infrastructures\u00a0VMware ESXi expos\u00e9es \u00e0 l\u2019internet public via les r\u00e8gles de surface d\u2019attaque \u00ab\u00a0VMware\u00a0ESXi\u00a0\u00bb et \u00ab\u00a0Insecure VMware\u00a0ESXi\u00a0\u00bb. En compl\u00e9ment, une r\u00e8gle de surface d\u2019attaque de d\u00e9tection post-compromission intitul\u00e9e \u00ab\u00a0ESXiArgs Ransomware\u00a0Infection\u00a0\u00bb est \u00e9galement disponible. Celle-ci permet de d\u00e9tecter des notes de ran\u00e7on inject\u00e9es par des acteurs malveillants, ainsi que d\u2019autres indicateurs d\u2019infection par ransomware affectant des serveurs\u00a0ESXi expos\u00e9s \u00e0 l\u2019internet.<\/li>\n<\/ul>\n<p>Si vous pensez que votre entreprise a pu \u00eatre compromise ou si vous faites face \u00e0 une urgence, contactez l\u2019<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe Unit\u00a042 de r\u00e9ponse \u00e0 incident<\/a> ou composez l\u2019un des num\u00e9ros suivants\u00a0:<\/p>\n<ul>\n<li>Am\u00e9rique du Nord\u00a0: Gratuit\u00a0: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni\u00a0: +44\u00a020\u00a03743\u00a03660<\/li>\n<li>Europe et Moyen-Orient\u00a0: +31.20.299.3130<\/li>\n<li>Asie\u00a0: +65.6983.8730<\/li>\n<li>Japon\u00a0: +81\u00a050\u00a01790\u00a00200<\/li>\n<li>Australie\u00a0: +61.2.4062.7950<\/li>\n<li>Inde\u00a0: 00080005045107<\/li>\n<\/ul>\n<p>Palo\u00a0Alto\u00a0Networks a partag\u00e9 ces conclusions avec les autres membres de la Cyber\u00a0Threat\u00a0Alliance (CTA). Les membres de la CTA s\u2019appuient sur ces renseignements pour d\u00e9ployer rapidement des mesures de protection aupr\u00e8s de leurs clients et perturber de mani\u00e8re coordonn\u00e9e les activit\u00e9s des cybercriminels. Cliquez ici pour en savoir plus sur la <a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-169335-_uh33v3jbnh9e\"><\/a>Indicateurs de compromission<\/h2>\n<ul>\n<li>Hachage SHA256\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">0fe7fcc66726f8f2daed29b807d1da3c531ec004925625855f8889950d0d24d8<\/span><\/li>\n<li>Description du fichier\u00a0: \u00c9chantillon de la version am\u00e9lior\u00e9e de Mario<\/li>\n<li>Hachage SHA256\u00a0: \u200b<span style=\"font-family: 'courier new', courier, monospace;\">d36afcfe1ae2c3e6669878e6f9310a04fb6c8af525d17c4ffa8b510459d7dd4d<\/span><\/li>\n<li>Description du fichier\u00a0: \u00c9chantillon de la version originale de Mario<\/li>\n<li>Hachage SHA256 : <span style=\"font-family: 'courier new', courier, monospace;\">26b3c1269064ba1bf2bfdcf2d3d069e939f0e54fc4189e5a5263a49e17872f2a<\/span><\/li>\n<li>Description du fichier\u00a0: \u00c9chantillon de MrAgent<\/li>\n<li>Hachage SHA256\u00a0: <span style=\"font-family: 'courier new', courier, monospace;\">8189c708706eb7302d7598aeee8cd6bdb048bf1a6dbe29c59e50f0a39fd53973<\/span><\/li>\n<li>Description du fichier\u00a0: \u00c9chantillon de MrAgent<\/li>\n<\/ul>\n<h2><a id=\"post-169335-_vt9ipa3kcgf5\"><\/a>Pour aller plus loin<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-ransomhouse-group-sets-up-extortion-market-adds-first-victims\/\" target=\"_blank\" rel=\"noopener\">New RansomHouse group sets up extortion market, adds first victims<\/a> - BleepingComputer<\/li>\n<li><a href=\"https:\/\/www.trellix.com\/blogs\/research\/ransomhouse-am-see\/\" target=\"_blank\" rel=\"noopener\">RansomHouse am See<\/a> - Trellix<\/li>\n<li><a href=\"https:\/\/analyst1.com\/ransomhouse-stolen-data-market-influence-operations-amp-other-tricks-up-the-sleeve\/\" target=\"_blank\" rel=\"noopener\">RansomHouse: Stolen Data Market, Influence Operations &amp; Other Tricks Up the Sleeve<\/a> - Analyst1<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.<\/p>\n","protected":false},"author":366,"featured_media":168588,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8823,8805,8832],"tags":[9858,9859,9860],"product_categories":[8979,8955,9041,9077,9064,9151,9178],"coauthors":[3877,9836],"class_list":["post-169335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-actor-groups-fr","category-ransomware-fr","category-threat-research-fr","tag-esxi-fr","tag-jolly-scorpius-fr","tag-ransomhouse-fr","product_categories-advanced-wildfire-fr","product_categories-cloud-delivered-security-services-fr","product_categories-cortex-fr","product_categories-cortex-xpanse-fr","product_categories-cortex-xsiam-fr","product_categories-unit-42-incident-response-fr","product_categories-ransomware-readiness-assessment-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse<\/title>\n<meta name=\"description\" content=\"Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse\" \/>\n<meta property=\"og:description\" content=\"Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-17T16:06:24+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-23T16:41:45+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Anmol Maurya, Jingwen Shi\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse","description":"Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/","og_locale":"fr_FR","og_type":"article","og_title":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse","og_description":"Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/","og_site_name":"Unit 42","article_published_time":"2025-12-17T16:06:24+00:00","article_modified_time":"2025-12-23T16:41:45+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","type":"image\/jpeg"}],"author":"Anmol Maurya, Jingwen Shi","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/"},"author":{"name":"Sheida Azimi","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"headline":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse","datePublished":"2025-12-17T16:06:24+00:00","dateModified":"2025-12-23T16:41:45+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/"},"wordCount":4954,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","keywords":["ESXi","Jolly Scorpius","RansomHouse"],"articleSection":["Groupes cybercriminels","Ransomware","Recherche sur les menaces"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/","name":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","datePublished":"2025-12-17T16:06:24+00:00","dateModified":"2025-12-23T16:41:45+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639"},"description":"Les op\u00e9rateurs \u00e0 l\u2019origine de RansomHouse, un groupe de ransomware-as-a-Service (RaaS), ont fait \u00e9voluer leurs m\u00e9thodes de chiffrement, passant d\u2019un mod\u00e8le \u00e0 phase unique \u00e0 un sch\u00e9ma plus complexe et multicouche.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/06_Ransomware_Category_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of RaaS RansomHouse. Digital representation of cybersecurity concept with a padlock superimposed over computer circuit boards, symbolizing data protection and encryption technologies."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/ransomhouse-encryption-upgrade\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Du lin\u00e9aire au complexe\u00a0: l\u2019\u00e9volution du chiffrement de RansomHouse"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/7ee97ec6f224446d57c0383eb5fd3639","name":"Sheida Azimi","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/9213e49ea48b7676660bac40d05c9e3e","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Sheida Azimi"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/author\/sheida-azimi\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/169335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/366"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=169335"}],"version-history":[{"count":1,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/169335\/revisions"}],"predecessor-version":[{"id":169512,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/169335\/revisions\/169512"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/168588"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=169335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=169335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=169335"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=169335"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=169335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}