Les locuteurs de langue chinoise sont de plus en plus ciblés dans le cadre de multiples campagnes de phishing par courrier électronique visant à diffuser diverses familles de logiciels malveillants telles que Sainbox RAT, Purple Fox et un nouveau cheval de Troie appelé ValleyRAT.
« Les campagnes incluent des leurres et des logiciels malveillants en langue chinoise généralement associés aux activités de cybercriminalité chinoises », a déclaré la société de sécurité d’entreprise Proofpoint. dit dans un rapport partagé avec The Hacker News.
L’activité, observée depuis début 2023, consiste à envoyer des emails contenant des URL pointant vers des exécutables compressés chargés d’installer le malware. Il a été constaté que d’autres chaînes d’infection exploitent les pièces jointes Microsoft Excel et PDF qui intègrent ces URL pour déclencher des activités malveillantes.
Ces campagnes démontrent des variations dans l’utilisation de l’infrastructure, des domaines d’expéditeur, du contenu des e-mails, du ciblage et des charges utiles, ce qui indique que différents clusters de menaces montent les attaques.
Plus de 30 campagnes de ce type ont été détectées en 2023 et utilisent des logiciels malveillants généralement associés aux activités de cybercriminalité chinoise. Depuis avril 2023, pas moins de 20 de ces campagnes auraient livré Sainbox, une variante du cheval de Troie Gh0st RAT, également connu sous le nom de FatalRAT.
Proofpoint a déclaré avoir identifié au moins trois autres campagnes distribuant le malware Purple Fox et six campagnes supplémentaires propageant une souche naissante de malware baptisée ValleyRAT, cette dernière ayant débuté le 21 mars 2023.
ValléeRAT, documenté pour la première fois par la société chinoise de cybersécurité Qi An Xin en février 2023, est écrit en C++ et héberge des fonctionnalités traditionnellement vues dans les chevaux de Troie d’accès à distance, telles que la récupération et l’exécution de charges utiles supplémentaires (DLL et binaires) envoyées depuis un serveur distant et l’énumération des processus en cours, entre autres.
Niveau de sécurité SaaS : un guide complet sur l’ITDR et le SSPM
Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont l’ITDR identifie et atténue les menaces. Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.
Alors que Gh0st RAT a été largement utilisé dans diverses cyber-campagnes liées à la Chine au fil des années, l’émergence de ValleyRAT suggère qu’il pourrait être largement déployé à l’avenir.
« L’augmentation de l’activité des logiciels malveillants en langue chinoise indique une expansion de l’écosystème des logiciels malveillants chinois, soit par une disponibilité accrue ou une facilité d’accès aux charges utiles et aux listes de cibles, ainsi qu’une activité potentiellement accrue des opérateurs de cybercriminalité parlant chinois », a déclaré la société.