{
	"id": "4c8e38d4-86eb-42a4-a011-3205818b293c",
	"created_at": "2026-04-06T02:12:27.897937Z",
	"updated_at": "2026-04-10T03:22:11.661434Z",
	"deleted_at": null,
	"sha1_hash": "e8e3111b213a9f4b01db340ad14207087542c039",
	"title": "Groupe Nova Sentinel Nova Stealer, le malware made in France  - Gatewatcher",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4464427,
	"plain_text": "Groupe Nova Sentinel Nova Stealer, le malware made in France  -\r\nGatewatcher\r\nArchived: 2026-04-06 01:39:02 UTC\r\nGrâce à notre outil de Cyber Threat Intelligence, LastInfoSec, notre équipe Purple a trouvé une menace venant\r\nd’un nouveau groupe cybercriminel. Nous avons décidé de l’étudier et de compiler nos recherches dans ce rapport.\r\nAu vu du changement constant des techniques utilisées par le groupe étudié, cet article peut mentionner des\r\ninformations qui ne sont plus d’actualité.\r\nIntroduction\r\nNova Sentinel est un groupe cybercriminel proposant un service de StaaS (Stealer as a Service), commercialisant\r\nun “information stealer” (voir notre Cyber Threat Barometer 2023) développé par eux-mêmes, et distribuant\r\ndifférents malwares en open source. D’après la date de création de leur canal Telegram, le groupe semble être actif\r\nau moins depuis le 9 août 2020. Ce dernier communique en grande partie en anglais mais les acteurs principaux\r\nsemblent être français, ou au moins francophones, en témoignent les discussions sur leur canal Telegram.\r\nÉtude d’une souche de Nova Stealer\r\nNova Stealer est une information stealer développée – et commercialisée – par le groupe Nova Sentinel en\r\nJavaScript et utilisant le framework Electron pour la compilation du code. Ses capacités sont étendues et\r\ncomprennent le vol d’identifiants stockés dans la plupart des navigateurs, le vol de session pour des plateformes\r\ntelles que Discord et Steam, ainsi que le vol d’informations liées aux portefeuilles de crypto-monnaies.\r\nCe stealer étant commercialisé en tant que service, une boutique est disponible pour l’achat de licences :\r\nanciennement sur la plateforme Sellix (https://novasentinel[.]mysellix.io) puis, après fermeture de la boutique, sur\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 1 of 13\n\nla plateforme Sellpass (https://novasentinel[.]sellpass.io/products).\r\nBoutique Du Groupe Nova Sentinel Vendant Un Accès Au Nova Stealer\r\nPour l’étude d’une souche de ce stealer, nous utiliserons un exécutable se faisant passer pour un jeu, et disponible\r\nsur dualcorps[.]fr (attention, ce site récupère l’adresse IP de tous les utilisateurs visitant la page).\r\nCe site se fait donc passer pour une plateforme permettant de télécharger un jeu gratuitement, derrière lequel se\r\ncache en fait notre info stealer.\r\nLe stealer envoie ensuite les informations trouvées vers un webhook Discord. Un webhook est une méthode\r\npermettant à une application de fournir des informations en temps réel à une autre application. Contrairement aux\r\nAPI traditionnelles qui nécessitent que le client interroge le serveur pour obtenir des données, un webhook permet\r\nau serveur d’envoyer des données au client dès qu’un certain événement se produit.\r\nAnalyse dynamique \r\nL’analyse dynamique d’un malware permettra de comprendre son comportement en temps réel lorsqu’il s’exécute\r\ndans un environnement contrôlé.\r\nEn regardant rapidement l’analyse, le malware va créer un grand nombre de processus, permettant une obfuscation\r\nde ses actions. Pour faire court, ces processus vont récupérer quelques informations sur le système infecté et\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 2 of 13\n\nrécupérer la solution antivirus disponible sur la machine.\r\nNous voyons aussi des connexions vers ipinfo.io (récupération de l’IP de la victime), github.com (récupérations de\r\nscripts tiers, comme PowerShell-Red-Team) mais surtout vers hawkish[.]fr (extraction des données).  A noter que\r\ntoutes les connexions sont chiffrées.\r\nExtraction des données\r\nLorsque nous visitons le site hawkish[.]fr, nous tombons sur un simple site de type Capture The Flag. Pourtant, en\r\ncréant un compte, nous accédons à une partie tierce du site, offrant la possibilité de saisir un webhook Discord.\r\nCette action génère un endpoint d’API à intégrer lors de la compilation du stealer.\r\nBouton Hawkish Grabber Permettant La Création De Son Url D’api\r\nAprès Avoir Fourni Un Webhook Discord, L’utilisateur Récupère L’url à Rentrer Lors Du Build De\r\nSon Stealer.\r\nCela permet d’anonymiser tous les retours, en passant d’abord par l’API détenue par le groupe Nova Sentinel.\r\nLa problématique avec cette méthode est que le groupe a, en théorie, la possibilité d’accéder à l’ensemble des\r\ndonnées collectées par le stealer des utilisateurs. Le site hawkish[.]fr faisant l’intermédiaire entre le stealer et\r\nl’utilisateur malveillant, nous ne pouvons que faire l’hypothèse que tout ce qui passe par le site de Nova Sentinel\r\nest stocké.\r\nLors de la réception des données, l’utilisateur peut voir l’adresse IP de la victime, sa localisation, des informations\r\nsur le système infecté et un résumé de ce qui a été récupéré. Enfin, un lien est disponible pour télécharger les\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 3 of 13\n\nrésultats en passant par la plateforme GoFile.\r\nExemple De Résultats Reçu Sur Un Canal Discord\r\nLe nom du fichier à télécharger est défini selon la méthode suivante : \r\n\u003cCOUNTRY_CODE\u003e_NOVA_\u003cvictim_username\u003e.zip \r\nEt l’url sous la forme : https://gofile.io/d/XXXXXX \r\nVoici un exemple de ce qui peut être récupéré sur une victime : \r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 4 of 13\n\nArborescence Du Fichier Zip Contenant Les Informations Volées De La Victime\r\nL’objectif principal d’un infostealer est de récupérer les mots de passe et cookies stockés dans les navigateurs de\r\nla victime. Cependant, Nova dépasse ses fonctionnalités basiques. En effet, ce stealer va aussi récupérer les\r\nfichiers de configuration de certains jeux et de leurs gestionnaires installés sur l’ordinateur. De plus, dans le\r\ndossier système, le malware retourne la liste des antivirus installés sur la machine, et des informations sur le\r\nsystème, comme le matériel, le système d’exploitation, l’IP et même la clé Windows enregistrée. Une capture\r\nd’écran de l’écran de la victime au moment où le fichier malveillant est exécuté est aussi présente.\r\nEtude statique : Reverse Engineering\r\nL’analyse statique d’un malware permettra d’examiner son code source et sa structure sans exécution, pour\r\nidentifier des signatures ou des indicateurs de compromission.\r\nLors de l’analyse statique du fichier « Dual Corps.exe » en utilisant l’outil Detect It Easy, nous voyons qu’il s’agit\r\nd’un exécutable d’installation. En extrayant l’exécutable après installation, il est remarqué que le framework\r\nElectron a été utilisé pour le développement du stealer.\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 5 of 13\n\nRécupération Des Informations Sur Le Fichier De Base Et Après Extraction\r\nAvec ces informations à disposition, il est alors relativement facile de récupérer le code source de l’application : il\r\nsuffit de décompresser le fichier. \r\nProcessus De Décompression Pour Récupérer Le Fichier App.asar\r\nNous restons enfin avec « app.asar », qui contient le code javascript de l’exécutable. Pour le récupérer, il est\r\npossible d’utiliser un plugin 7zip.\r\nProcessus De Récupération Du Code Source\r\nEn ouvrant le fichier bundle.js, nous accédons au code source de l’application, ce dernier étant obfusqué.\r\nTout ce procédé manuel peut être automatisé grâce à un unpacker développé par nos soins :\r\nhttps://github.com/Gatewatcher/nova_unpacker\r\nDésobfuscation du code\r\nLa désobfuscation est un processus lent et fastidieux, censé ralentir l’étude d’un code source. Par conséquent, nous\r\nne rentrerons pas dans les détails. \r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 6 of 13\n\nPartie Du Code Obfusqué\r\nAprès désobfuscation manuelle, nous nous retrouvons avec un script JS composé de plus de 500 lignes de code\r\nlongues et complexes.  Cependant, seule une partie du code désobfusqué est réellement pertinente pour notre\r\nanalyse.\r\nPartie Du Code Obfusqué Contenant Du Code Javascript En Clair\r\nNous remarquons dans cette portion du code plus ou moins lisible, qu‘il s’agit en fait de modules tiers chargés\r\ndans des variables qui seront par la suite utilisées. \r\nUne analyse dynamique du code a permis de récupérer 21 modules complémentaires, entièrement en clair. Le\r\nmodule admin.js permet enfin de récupérer la configuration du stealer :\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 7 of 13\n\nExplication de la configuration : Etude du builder\r\nLe builder  – logiciel utilisé pour créer et personnaliser un logiciel malveillant en générant des variantes uniques\r\navec différentes fonctionnalités et techniques d’évasion – étant aussi développé en utilisant la librairie Electron, la\r\nrécupération du code source suit le même procédé que celui vu précédemment. De plus, le code n’est cette fois-ci\r\npas obfusqué, facilitant grandement sa compréhension.\r\nPage De Connexion Au Builder\r\nLors de l’exécution du builder, une authentification est nécessaire. A priori, la soumission de l’ID Discord n’a pas\r\nd’utilité, comme semble le prouver le code JavaScript présent sur la page.\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 8 of 13\n\nCode Source Pour L’authentification Au Service Du Builder\r\nCependant, un “nova token” permet d’accéder aux fonctionnalités du builder.\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 9 of 13\n\nCode Source Montrant La Vérification Du Nova Token\r\nCe dernier est envoyé à l’url https://hawkish[.]fr/grabber/nova/login_by_token, qui va vraisemblablement tester le\r\ncode, et si celui-ci est valable, emmener l’utilisateur vers le builder.\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 10 of 13\n\nPremière Page Du Builder\r\nDeuxième Page Du Builder\r\nTroisième Page Du Builder\r\nNous retrouvons ici quelques variables visibles dans la configuration du stealer.\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 11 of 13\n\nAprès avoir entré ces informations, ces dernières sont envoyées à\r\nhttp://87[.]106.121.77:3000/cacagrossebite/kschleplusbeau/mazette. Un lien de téléchargement de l’exécutable est\r\nenfin renvoyé.\r\nButs du groupe\r\nLe but premier du groupe est donc vraisemblablement financier, à l’instar de tout groupe proposant un MaaS\r\n(Malware As A Service). Cependant, il est aussi à noter qu’il est en théorie possible que le groupe ait accès à\r\ntoutes les informations récupérées par le stealer. En commercialisant Nova Stealer, Nova Sentinel pourrait donc\r\navoir accès à un grand nombre d’informations privées sur les victimes du stealer,  tout en générant des revenus par\r\nla vente d’accès à l’API.\r\nAnnexes\r\nHiérarchie Nova Sentinel\r\nHiérarchie De Nova Sentinel\r\nIOCs\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 12 of 13\n\nAuteur : Nicolas M. F., Purple Team\r\nSource: https://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nhttps://www.gatewatcher.com/lab/groupe-nova-sentinel/\r\nPage 13 of 13\n\n  https://www.gatewatcher.com/lab/groupe-nova-sentinel/ \nCode Source Pour L’authentification Au Service Du Builder\nCependant, un “nova token” permet d’accéder aux fonctionnalités du builder.\n  Page 9 of 13",
	"extraction_quality": 1,
	"language": "FR",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.gatewatcher.com/lab/groupe-nova-sentinel/"
	],
	"report_names": [
		"groupe-nova-sentinel"
	],
	"threat_actors": [],
	"ts_created_at": 1775441547,
	"ts_updated_at": 1775791331,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/e8e3111b213a9f4b01db340ad14207087542c039.pdf",
		"text": "https://archive.orkl.eu/e8e3111b213a9f4b01db340ad14207087542c039.txt",
		"img": "https://archive.orkl.eu/e8e3111b213a9f4b01db340ad14207087542c039.jpg"
	}
}