Les hôtels de luxe de la région administrative spéciale chinoise de Macao ont été la cible d’une campagne de harponnage malveillante de la seconde moitié de novembre 2021 à la mi-janvier 2022.
Cabinet de cybersécurité Trellix attribué la campagne avec une confiance modérée à une menace persistante avancée (APT) sud-coréenne présumée suivie sous le nom de DarkHotel, en s’appuyant sur des recherches précédemment publiées par Échelle Z en décembre 2021.
Considéré comme actif depuis 2007, DarkHotel a l’habitude de frapper « des cadres supérieurs d’entreprises en téléchargeant du code malveillant sur leurs ordinateurs via des réseaux Wi-Fi infiltrés dans les hôtels, ainsi que par le biais de spear-phishing et d’attaques P2P », ont déclaré les chercheurs de Zscaler Sahil Antil et Sudeep. dit Singh. Les principaux secteurs ciblés sont les forces de l’ordre, les produits pharmaceutiques et les constructeurs automobiles.
Les chaînes d’attaque impliquaient la distribution de messages électroniques destinés à des personnes occupant des postes de direction dans l’hôtel, tels que le vice-président des ressources humaines, le directeur adjoint et le directeur de la réception, indiquant que les intrusions visaient le personnel qui avait accès au réseau de l’hôtel.
Dans un leurre de phishing envoyé à 17 hôtels différents le 7 décembre, l’e-mail prétendait provenir de l’Office du tourisme du gouvernement de Macao et exhortait les victimes à ouvrir un fichier Excel nommé « 信息.xls » (« information.xls »). Dans un autre cas, les e-mails ont été falsifiés pour recueillir des détails sur les personnes séjournant dans les hôtels.
Le fichier Microsoft Excel contenant des logiciels malveillants, une fois ouvert, a incité les destinataires à activer les macros, déclenchant une chaîne d’exploitation pour collecter et exfiltrer les données sensibles des machines compromises vers un serveur de commande et de contrôle (C2) distant (« fsm-gov[.]com ») qui se sont fait passer pour le site Web du gouvernement des États fédérés de Micronésie (EFM).
« Cette adresse IP a été utilisée par l’acteur pour déposer de nouvelles charges utiles comme première étape pour configurer l’environnement de la victime pour l’exfiltration des informations système et les prochaines étapes potentielles », ont déclaré les chercheurs de Trellix, Thibault Seret et John Fokker, dans un rapport publié la semaine dernière. « Ces charges utiles ont été utilisées pour cibler les grandes chaînes hôtelières de Macao, notamment le Grand Coloane Resort et le Wynn Palace. »
Il convient également de noter le fait que l’adresse IP du serveur C2 est restée active malgré une divulgation publique antérieure et qu’elle est également utilisée pour servir des pages de phishing pour une attaque de collecte d’informations d’identification non liée dirigée contre les utilisateurs du portefeuille de crypto-monnaie MetaMask.
La campagne aurait dû prendre fin le 18 janvier 2022, coïncidant avec l’augmentation des cas de COVID-19 à Macao, provoquant l’annulation ou le report des conférences commerciales internationales qui devaient avoir lieu dans les hôtels ciblés.
« Le groupe essayait de jeter les bases d’une future campagne impliquant ces hôtels spécifiques », ont déclaré les chercheurs. « Dans cette campagne, les restrictions liées au COVID-19 ont mis un frein au moteur de l’acteur menaçant, mais cela ne signifie pas qu’ils ont abandonné cette approche. »