L’acteur malveillant parlant chinois connu sous le nom de Earth Lusca a été observé en train d’utiliser une nouvelle porte dérobée baptisée KTLVdoor dans le cadre d’une cyberattaque ciblant une société commerciale anonyme basée en Chine.
Le malware, jusqu’alors non signalé, est écrit en Golang et constitue donc une arme multiplateforme capable de cibler à la fois les systèmes Microsoft Windows et Linux.
« KTLVdoor est un malware hautement obscurci qui se fait passer pour différents utilitaires système, permettant aux attaquants d’effectuer diverses tâches, notamment la manipulation de fichiers, l’exécution de commandes et l’analyse de ports à distance », expliquent les chercheurs de Trend Micro Cédric Pernet et Jaromir Horejsi dit dans une analyse publiée mercredi.
Certains des outils imités par KTLVdoor incluent sshd, Java, SQLite, bash et edr-agent, entre autres, le malware étant distribué sous la forme d’une bibliothèque de liens dynamiques (.dll) ou d’un objet partagé (.so).
L’aspect le plus inhabituel de ce groupe d’activités est peut-être la découverte de plus de 50 serveurs de commande et de contrôle (C&C), tous hébergés par la société chinoise Alibaba, qui ont été identifiés comme communiquant avec des variantes du malware, ce qui soulève la possibilité que l’infrastructure puisse être partagée avec d’autres acteurs chinois de la menace.
Earth Lusca est connu pour être actif depuis au moins 2021, orchestrant des cyberattaques contre des entités des secteurs public et privé en Asie, en Australie, en Europe et en Amérique du Nord. On estime qu’il partage certains chevauchements tactiques avec d’autres groupes d’intrusion suivis comme RedHotel et APT27 (alias Budworm, Emissary Panda et Tigre de fer).
KTLVdoor, le dernier ajout à l’arsenal de logiciels malveillants du groupe, est très obscurci et tire son nom de l’utilisation d’un marqueur appelé « KTLV » dans son fichier de configuration qui comprend divers paramètres nécessaires pour répondre à ses fonctions, y compris les serveurs C&C auxquels se connecter.
Une fois initialisé, le malware établit un contact avec le serveur C&C en boucle, en attendant que d’autres instructions soient exécutées sur l’hôte compromis. Les commandes prises en charge lui permettent de télécharger/télécharger des fichiers, d’énumérer le système de fichiers, de lancer un shell interactif, d’exécuter un shellcode et de lancer une analyse à l’aide de ScanTCP, ScanRDP, DialTLS, ScanPing et ScanWeb, entre autres.
Cela étant dit, on ne sait pas grand-chose sur la manière dont le malware est distribué et s’il a été utilisé pour cibler d’autres entités à travers le monde.
« Ce nouvel outil est utilisé par Earth Lusca, mais il pourrait également être partagé avec d’autres acteurs malveillants parlant chinois », ont noté les chercheurs. « Étant donné que tous les serveurs C&C étaient sur des adresses IP du fournisseur chinois Alibaba, nous nous demandons si l’apparition de ce nouveau malware et du serveur C&C ne pourrait pas être une étape précoce du test de nouveaux outils. »