Le groupe d’États-nations chinois connu sous le nom de Dragon Camaro a été lié à une autre porte dérobée conçue pour atteindre ses objectifs de collecte de renseignements.
La société israélienne de cybersécurité Check Point, qui a surnommé le malware basé sur Go TinyNote, a déclaré qu’il fonctionnait comme une charge utile de première étape capable « d’énumérer les machines de base et d’exécuter des commandes via PowerShell ou Goroutines ».
Ce qui manque au malware en termes de sophistication, il le compense lorsqu’il s’agit d’établir des méthodes redondantes pour conserver l’accès à l’hôte compromis au moyen de multiples tâches de persistance et de méthodes variées pour communiquer avec différents serveurs.
Camaro Dragon chevauche un acteur menaçant largement suivi sous le nom de Mustang Panda, un groupe parrainé par l’État chinois qui est connu pour être actif depuis au moins 2012.
Le collectif contradictoire a récemment été à l’honneur pour un implant de micrologiciel sur mesure appelé Horse Shell qui coopte les routeurs TP-Link dans un réseau maillé capable de transmettre des commandes vers et depuis les serveurs de commande et de contrôle (C2).
En d’autres termes, l’objectif est de masquer l’activité malveillante en utilisant des routeurs domestiques compromis comme infrastructure intermédiaire permettant aux communications avec les ordinateurs infectés d’émaner d’un nœud différent.
Les dernières découvertes démontrent l’évolution et la croissance de la sophistication des tactiques d’évasion et du ciblage des attaquants, sans parler du vaste mélange d’outils personnalisés utilisés pour percer les défenses de différentes cibles.
La porte dérobée TinyNote est distribuée en utilisant des noms liés aux affaires étrangères (par exemple, « PDF_Liste des contacts des membres déplomatiques invités ») et est censée cibler les ambassades d’Asie du Sud-Est et de l’Est. C’est aussi le premier artefact connu de Mustang Panda écrit en Golang.
Un aspect remarquable du logiciel malveillant est sa capacité à contourner spécifiquement une solution antivirus indonésienne appelée Smadav, soulignant son haut niveau de préparation et sa connaissance approfondie de l’environnement des victimes.
« La porte dérobée TinyNote met en évidence l’approche ciblée de Camaro Dragon et les recherches approfondies qu’ils mènent avant d’infiltrer les systèmes de leurs victimes », a déclaré Check Point.
« L’utilisation simultanée de cette porte dérobée avec d’autres outils avec différents niveaux d’avancement technique implique que les acteurs de la menace cherchent activement à diversifier leur arsenal d’attaque. »
La divulgation intervient alors que ThreatMon a découvert l’utilisation par APT41 (alias Wicked Panda) de techniques de vie hors de la terre (LotL) pour lancer une porte dérobée PowerShell en exploitant un exécutable Windows légitime appelé forfiles.
Ce n’est pas tout. Des responsables gouvernementaux de haut niveau des pays du G20 sont devenus la cible d’une nouvelle campagne de phishing orchestrée par un autre acteur menaçant chinois appelé Sharp Panda, par Cyble.
Les e-mails contiennent des versions piégées de prétendus documents officiels, qui utilisent la méthode d’injection de modèle à distance pour récupérer le téléchargeur de la prochaine étape à partir du serveur C2 à l’aide de l’arme Royal Road Rich Text Format (RTF).
Il convient de souligner que la chaîne d’infection susmentionnée est cohérente avec l’activité précédente de Sharp Panda, comme l’a récemment mis en évidence Check Point lors d’attaques visant des entités gouvernementales en Asie du Sud-Est.
De plus, il a été découvert que l’Armée populaire de libération (APL) de Chine utilisait des informations de source ouverte disponibles sur Internet et d’autres sources à des fins de renseignement militaire pour obtenir un avantage stratégique sur l’Occident.
« L’utilisation de l’OSINT par l’APL lui confère très probablement un avantage en matière de renseignement, car l’environnement d’information ouvert de l’Occident permet à l’APL de récolter facilement de grandes quantités de données open source, tandis que les militaires occidentaux doivent faire face à l’environnement d’information fermé de la Chine », a noté Recorded Future.
L’analyse s’appuie sur une liste de 50 dossiers d’approvisionnement de l’APL et de l’industrie de la défense chinoise qui ont été publiés entre janvier 2019 et janvier 2023.
« Les fournisseurs de données commerciales doivent également être conscients que l’industrie militaire et de défense chinoise pourrait acheter leurs données à des fins de renseignement, et devraient envisager de faire preuve de diligence raisonnable lors de la vente de leurs données à des entités en Chine », a déclaré la société.
