Un groupe d’États-nations chinois a été observé ciblant les ministères des Affaires étrangères et les ambassades en Europe en utilisant des techniques de contrebande HTML pour livrer le cheval de Troie d’accès à distance PlugX sur des systèmes compromis.
La société de cybersécurité Check Point a déclaré que l’activité, surnommée SmugXest en cours depuis au moins décembre 2022.
« La campagne utilise de nouvelles méthodes de diffusion pour déployer (notamment le HTML Smuggling) une nouvelle variante de PlugX, un implant couramment associé à une grande variété d’acteurs menaçants chinois », Check Point a dit.
« Bien que la charge utile elle-même reste similaire à celle trouvée dans les anciennes variantes de PlugX, ses méthodes de livraison entraînent de faibles taux de détection, ce qui, jusqu’à récemment, aidait la campagne à passer sous le radar. »
L’identité exacte de l’acteur de la menace derrière l’opération est un peu floue, bien que les indices existants pointent vers Mustang Panda, qui partage également des chevauchements avec des clusters suivis comme Earth Preta, RedDelta et la propre désignation de Check Point, Camaro Dragon.
Cependant, la société a déclaré qu’il n’y avait « pas suffisamment de preuves » à ce stade pour l’attribuer de manière concluante au collectif contradictoire.
La dernière séquence d’attaque est significative pour l’utilisation de Contrebande HTML – une technique furtive dans laquelle les fonctionnalités HTML5 et JavaScript légitimes sont utilisées à mauvais escient pour assembler et lancer le logiciel malveillant – dans les documents leurres joints aux e-mails de harponnage.
« La contrebande HTML utilise des attributs HTML5 qui peuvent fonctionner hors ligne en stockant un binaire dans un bloc de données immuable dans le code JavaScript », Trustwave indiqué plus tôt en février. « Le blob de données, ou la charge utile intégrée, est décodé en un objet fichier lorsqu’il est ouvert via un navigateur Web. »
Une analyse des documents, qui ont été téléchargés dans la base de données de logiciels malveillants VirusTotal, révèle qu’ils sont conçus pour cibler des diplomates et des entités gouvernementales en Tchéquie, en Hongrie, en Slovaquie, au Royaume-Uni, en Ukraine et probablement aussi en France et en Suède.
Dans un cas, l’auteur de la menace aurait utilisé un leurre sur le thème ouïghour (« La Chine essaie de bloquer un haut-parleur ouïghour proéminent à l’ONU.docx ») qui, une fois ouvert, se dirige vers un serveur externe au moyen d’un système de suivi intégré et invisible. pixel pour exfiltrer les données de reconnaissance.
Le processus d’infection en plusieurs étapes utilise des méthodes de chargement latéral de DLL pour déchiffrer et lancer la charge utile finale, PlugX.
Aussi appelé Korplug, le malware remonte à 2008 et est un cheval de Troie modulaire capable d’accueillir « divers plugins avec des fonctionnalités distinctes » qui permettent aux opérateurs d’effectuer des vols de fichiers, des captures d’écran, l’enregistrement des frappes et l’exécution de commandes.
« Au cours de notre enquête sur les échantillons, l’acteur de la menace a envoyé un script batch, envoyé depuis le serveur C&C, destiné à effacer toute trace de leurs activités », a déclaré Check Point.
« Ce script, nommé del_RoboTask Update.bat, éradique l’exécutable légitime, la DLL du chargeur PlugX et la clé de registre implémentée pour la persistance, et finit par se supprimer. Il est probable que cela soit dû au fait que les acteurs de la menace ont pris conscience qu’ils étaient sous surveillance. . »