Les ministères des Affaires étrangères des Amériques ont été ciblés par un acteur parrainé par l’État chinois nommé Puce dans le cadre d’une récente campagne qui s’est déroulée de fin 2022 à début 2023.
Les cyberattaques, selon Symantec de Broadcom, impliquaient une nouvelle porte dérobée nommée Graphican. Certaines des autres cibles comprenaient un département des finances du gouvernement et une société qui commercialise des produits dans les Amériques ainsi qu’une victime non précisée dans un pays européen.
“Flea a utilisé un grand nombre d’outils dans cette campagne”, a déclaré la société. a dit dans un rapport partagé avec The Hacker News, décrivant l’acteur de la menace comme “grand et bien doté”. “En plus de la nouvelle porte dérobée Graphican, les attaquants ont exploité une variété d’outils vivant hors de la terre, ainsi que des outils qui étaient auparavant liés à Flea.”
Flea, également appelé APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anciennement Nickel), Playful Taurus, Royal APT et Vixen Panda, est un groupe de menace persistante avancé qui est connu pour frapper les gouvernements, les missions diplomatiques et les ambassades depuis au moins 2004.
Plus tôt en janvier, le groupe a été accusé d’être à l’origine d’une série d’attaques visant des entités gouvernementales iraniennes entre juillet et fin décembre 2022.
Puis le mois dernier, il est apparu que le gouvernement kenyan avait été pointé du doigt dans une vaste opération de collecte de renseignements de trois ans visant les principaux ministères et institutions d’État du pays.
L’équipe de l’État-nation a également été impliquée dans plusieurs campagnes de surveillance Android – SoieBean et BadBazar – ciblant les Ouïghours en République populaire de Chine et à l’étranger, comme détaillé par Lookout en juillet 2020 et novembre 2022, respectivement.
On dit que Graphican est une évolution d’une porte dérobée Flea connue appelée Ketricandont les fonctionnalités ont depuis été fusionnées avec un autre implant connu sous le nom d’Okrum pour engendrer un nouveau malware nommé Ketrum.
La porte dérobée, bien qu’ayant la même fonctionnalité, se distingue de Ketrican pour l’utilisation de l’API Microsoft Graph et de OneDrive pour obtenir les détails du serveur de commande et de contrôle (C&C).
“Les échantillons Graphican observés n’avaient pas de serveur C&C codé en dur, mais ils se connectaient à OneDrive via l’API Microsoft Graph pour obtenir l’adresse chiffrée du serveur C&C à partir d’un dossier enfant dans le dossier “Personne””, a déclaré Symantec.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
“Le logiciel malveillant a ensuite décodé le nom du dossier et l’a utilisé comme serveur C&C pour le logiciel malveillant.”
Il convient de souligner que l’abus de l’API Microsoft Graph et de OneDrive a déjà été observé dans le cas d’acteurs menaçants russes et chinois comme APT28 (alias Sofacy ou Swallowtail) et Bad Magic (alias Red Stinger).
Graphican est équipé pour interroger le serveur C&C pour de nouvelles commandes à exécuter, y compris la création d’une ligne de commande interactive qui peut être contrôlée depuis le serveur, télécharger des fichiers sur l’hôte et configurer des processus secrets pour récolter des données d’intérêt.
L’un des autres outils remarquables utilisés dans l’activité comprend une version mise à jour de la porte dérobée EWSTEW pour extraire les e-mails envoyés et reçus sur les serveurs Microsoft Exchange piratés.
“L’utilisation d’une nouvelle porte dérobée par Flea montre que ce groupe, malgré ses longues années de fonctionnement, continue à développer activement de nouveaux outils”, a déclaré Symantec. “Le groupe a développé plusieurs outils personnalisés au fil des ans.”
“Les similitudes de fonctionnalité entre Graphican et la porte dérobée Ketrican connue peuvent indiquer que le groupe n’est pas très préoccupé par le fait qu’une activité lui soit attribuée.”