Des organisations à Taiwan et une organisation non gouvernementale (ONG) américaine basée en Chine ont été ciblées par un groupe de piratage informatique parrainé par l’État et affilié à Pékin, appelé Daguet en utilisant un ensemble amélioré d’outils anti-malware.
Cette campagne est un signe que le groupe « se livre également à de l’espionnage interne », a déclaré l’équipe Threat Hunter de Symantec, qui fait partie de Broadcom. dit Dans un nouveau rapport publié aujourd’hui, les attaquants ont exploité une vulnérabilité d’un serveur HTTP Apache pour diffuser leur malware MgBot.
Daggerfly, également connu sous les noms de Bronze Highland et Evasive Panda, a déjà été observé en train d’utiliser le framework de malware modulaire MgBot dans le cadre d’une mission de collecte de renseignements visant les fournisseurs de services de télécommunications en Afrique. Il est connu pour être opérationnel depuis 2012.
« Daggerfly semble être capable de répondre à une exposition en mettant rapidement à jour sa boîte à outils pour poursuivre ses activités d’espionnage avec un minimum de perturbations », a noté la société.
La dernière série d’attaques est caractérisée par l’utilisation d’une nouvelle famille de malwares basée sur MgBot ainsi que d’une version améliorée d’un malware connu d’Apple macOS appelé MACMA, qui a été exposé pour la première fois par le Threat Analysis Group (TAG) de Google en novembre 2021 comme étant distribué via des attaques de type watering hole ciblant les internautes à Hong Kong en exploitant les failles de sécurité du navigateur Safari.
Ce développement marque la première fois que la souche de malware, capable de collecter des informations sensibles et d’exécuter des commandes arbitraires, est explicitement liée à un groupe de pirates informatiques particulier.
« Les acteurs derrière macOS.MACMA réutilisaient au moins le code des développeurs ELF/Android et auraient peut-être également pu cibler les téléphones Android avec des logiciels malveillants », a déclaré SentinelOne. noté dans une analyse ultérieure à l’époque.
Les connexions de MACMA à Daggerly proviennent également de chevauchements de code source entre le malware et Mgbot, et du fait qu’il se connecte à un serveur de commande et de contrôle (C2) (103.243.212[.]98) qui a également été utilisé par un dropper MgBot.
Un autre nouveau malware dans son arsenal est Nightdoor (alias NetMM et Suzafk), un implant qui utilise l’API Google Drive pour C2 et qui est utilisé dans des attaques de points d’eau visant les utilisateurs tibétains depuis au moins septembre 2023. Les détails de l’activité ont été documentés pour la première fois par ESET au début du mois de mars.
« Le groupe peut créer des versions de ses outils ciblant la plupart des principales plateformes de systèmes d’exploitation », a déclaré Symantec, ajoutant avoir « constaté des preuves de la capacité à trojaniser les APK Android, les outils d’interception de SMS, les outils d’interception de requêtes DNS et même les familles de logiciels malveillants ciblant le système d’exploitation Solaris. »
Cette évolution intervient alors que le Centre national de réponse aux urgences virales informatiques (CVERC) de Chine a affirmé que Volt Typhoon – qui a été attribué par les pays Five Eyes à un groupe d’espionnage lié à la Chine – était une invention des agences de renseignement américaines, le décrivant comme une campagne de désinformation.
« Bien que ses principales cibles soient le Congrès américain et le peuple américain, il tente également[s] pour diffamer la Chine, semer la discorde [sic] entre la Chine et d’autres pays, freiner le développement de la Chine et voler les entreprises chinoises », a déclaré le CVERC. affirmé dans un rapport récent.