Un acteur menaçant parrainé par le gouvernement lié à la Chine a été observé ciblant des russophones avec une version mise à jour d’un cheval de Troie d’accès à distance appelé PlugX.
Secureworks a attribué les tentatives d’intrusion à un acteur menaçant qu’il suit en tant que président de bronze, et à la communauté de la cybersécurité au sens large sous les noms de Mustang Panda, TA416, HoneyMyte, RedDelta et PKPLUG.
« La guerre en Ukraine a incité de nombreux pays à déployer leurs cybercapacités pour mieux comprendre les événements mondiaux, les machinations politiques et les motivations », a déclaré la société de cybersécurité. mentionné dans un rapport partagé avec The Hacker News. « Ce désir de connaissance de la situation s’étend souvent à la collecte de renseignements auprès d’alliés et d' »amis ». »
Bronze President, actif depuis au moins juillet 2018, a l’habitude de mener des opérations d’espionnage en exploitant des outils personnalisés et accessibles au public pour compromettre, maintenir un accès à long terme et collecter des données auprès de cibles d’intérêt.
Le principal de ses outils est PlugX, une porte dérobée Windows qui permet aux pirates d’exécuter diverses commandes sur des systèmes infectés et qui a été utilisée par plusieurs acteurs chinois parrainés par l’État au fil des ans.
Les dernières découvertes de Secureworks suggèrent une extension de la même campagne précédemment détaillée par Proofpoint et ESET le mois dernier, qui a impliqué l’utilisation d’une nouvelle variante de PlugX nommée Hodur, ainsi étiquetée en raison de ses chevauchements avec une autre version appelée THOR qui a émergé sur le scène en juillet 2021.
La chaîne d’attaque commence par un exécutable malveillant nommé « Blagoveshchensk – Blagoveshchensk Border Detachment.exe » qui se fait passer pour un document apparemment légitime avec une icône PDF, qui, une fois ouvert, conduit au déploiement d’une charge utile PlugX cryptée à partir d’un serveur distant.
« Blagoveshchensk est une ville russe proche de la frontière chinoise et abrite le 56e détachement de gardes-frontières de la bannière rouge Blagoveshchenskiy », ont déclaré les chercheurs. « Cette connexion suggère que le nom du fichier a été choisi pour cibler des responsables ou des militaires familiers avec la région. »
Le fait que des responsables russes aient pu être la cible de la campagne de mars 2022 indique que l’acteur menaçant fait évoluer ses tactiques en réponse à la situation politique en Europe et à la guerre en Ukraine.
« Le ciblage des utilisateurs russophones et des entités européennes suggère que les acteurs de la menace ont reçu des tâches mises à jour qui reflètent l’évolution des exigences de collecte de renseignements du [People’s Republic of China] », ont déclaré les chercheurs.
Les résultats surviennent des semaines après qu’un autre groupe d’États-nations basé en Chine connu sous le nom de Nomad Panda (alias RedFoxtrot) a été lié avec une confiance moyenne à des attaques contre les secteurs de la défense et des télécommunications en Asie du Sud en exploitant une autre version de PlugX surnommée Talisman.
« PlugX a été associé à divers acteurs chinois ces dernières années », déclare Trellix c’est noté le mois dernier. « Ce fait soulève la question de savoir si la base de code du malware est partagée entre différents groupes soutenus par l’État chinois. »
« D’autre part, la fuite présumée du constructeur PlugX v1, telle que rapportée par Airbus en 2015, indique que toutes les occurrences de PlugX ne sont pas nécessairement liées à des acteurs chinois », a ajouté la société de cybersécurité.