Des acteurs de la menace associés à l’équipe de piratage connue sous le nom de Patchwork ont été repérés en train de cibler des universités et des organismes de recherche en Chine dans le cadre d’une campagne récemment observée.
L’activité, selon l’équipe KnownSec 404, impliquait l’utilisation d’une porte dérobée portant le nom de code Coquillage.
Patchwork, également connu sous les noms d’Operation Hangover et Zinc Emerson, est soupçonné d’être un groupe menaçant qui opère au nom de l’Inde. Actives depuis au moins décembre 2015, les chaînes d’attaque montées par le groupe ont une portée étroite et ont tendance à cibler le Pakistan et la Chine avec des implants personnalisés tels que BADNEWS via des attaques de harponnage et de point d’eau.
Il a été constaté que le collectif contradictoire partageait des chevauchements tactiques avec d’autres groupes de cyberespionnage ayant une connexion indienne, notamment SideWinder et l’équipe DoNot.
Plus tôt en mai, Meta a révélé avoir supprimé 50 comptes sur Facebook et Instagram exploités par Patchwork, qui ont profité d’applications de messagerie malveillantes téléchargées sur le Google Play Store pour collecter des données auprès de victimes au Pakistan, en Inde, au Bangladesh, au Sri Lanka, au Tibet, et la Chine.
« Patchwork s’est appuyé sur une gamme de personnages fictifs élaborés pour inciter socialement les gens à cliquer sur des liens malveillants et à télécharger des applications malveillantes », a déclaré le géant des médias sociaux.
« Ces applications contenaient des fonctionnalités malveillantes relativement basiques, l’accès aux données de l’utilisateur dépendant uniquement des autorisations d’application légitimes accordées par l’utilisateur final. app contrôlée par l’attaquant en haut de la liste. »
Certaines de ses activités ont également été signalées sous le nom de ModifiedElephant, selon Secureworks, faisant référence à une série d’attaques contre des militants des droits de l’homme, des universitaires et des avocats à travers l’Inde pour mener une surveillance à long terme et produire des « preuves numériques incriminantes » en relation avec les violences de Bhima Koregaon en 2018 dans l’État indien du Maharashtra.
EyeShell, détecté aux côtés de BADNEWS, est une porte dérobée modulaire basée sur .NET qui permet d’établir un contact avec un serveur de commande et de contrôle à distance (C2) et d’exécuter des commandes pour énumérer des fichiers et des répertoires, télécharger et télécharger des fichiers vers et depuis le héberger, exécuter un fichier spécifié, supprimer des fichiers et capturer des captures d’écran.
Les conclusions surviennent alors que la société de cybersécurité a également détaillé une autre vague d’attaques de phishing orchestrée par un groupe appelé Bitter visant l’aérospatiale, l’armée, les grandes entreprises, les affaires gouvernementales nationales et les universités du pays avec une nouvelle porte dérobée connue sous le nom d’ORPCBackdoor.
L’acteur de la menace sud-asiatique a déjà été détecté ciblant l’industrie de l’énergie nucléaire en Chine avec des téléchargeurs de logiciels malveillants fournis via CHM et des fichiers Microsoft Excel conçus pour créer de la persistance et récupérer d’autres charges utiles.
