Cette fois-ci, c’est le sysdiagnose qui va nous aider. Parmi la multitude de fichiers fournis, l’un d’entre eux
contient la liste des processus en cours d’exécution, dans private/var/mobile/Library/Logs/CrashReporter/DiagnosticLogs/sysdiagnose/sysdiagnose_2025.04.07_08-06-18-0700_iPhone-OS_iPhone_20A362/ps.txt.
On repère rapidement des process bizarres :
USER UID PRSNA PID PPID F %CPU %MEM PRI NI VSZ RSS WCHAN TT STAT STARTED TIME COMMAND
root 0 99 279 1 4004004 0.0 0.0 0 0 0 0 - ?? ? 7:47AM 0:00.00 /var/containers/Bundle/Application/4B6E715E-641B-4F43-B39B-CA9AE3E8B73B/Signal.app/mussel dGNwOi8vOTguNjYuMTU0LjIzNToyOTU1Mg==
root 0 99 330 1 4004004 0.0 0.0 0 0 0 0 - ?? ? 7:47AM 0:00.00 /var/containers/Bundle/Application/4B6E715E-641B-4F43-B39B-CA9AE3E8B73B/Signal.app/mussel dGNwOi8vOTguNjYuMTU0LjIzNToyOTU1Mg==
mobile 501 1000 344 1 4004044 0.0 0.0 0 0 0 0 - ?? ?s 7:56AM 0:00.00 /var/containers/Bundle/Application/4B6E715E-641B-4F43-B39B-CA9AE3E8B73B/Signal.app/Signal
root 0 99 345 344 4004004 0.0 0.0 0 0 0 0 - ?? ? 7:56AM 0:00.00 /var/containers/Bundle/Application/4B6E715E-641B-4F43-B39B-CA9AE3E8B73B/Signal.app/mussel dGNwOi8vOTguNjYuMTU0LjIzNToyOTU1Mg==
D’abord, le nom musselest très curieux pour l’application Signal. On s’attendrait plutôt à signal ? Mais surtout, c’est le paramètre qui attire mon attention. On décode le base 64 dGNwOi8vOTguNjYuMTU0LjIzNToyOTU1Mg==, et on obtient tcp://98.66.154.235:29552, ce qui ressemble furieusement
aux coordonnées d’un C2 (mon petit doigt me dit que ça va servir plus tard…).
Problème : on a plusieurs PID possibles. On peut tous les tester, mais j’ai eu la bonne idée de commencer à partir
du père, 344. Et ça donne le bon flag : FCSC{org.whispersystems.signal|344}.