Un groupe de cyberespionnage aligné sur la Chine a été observé frappant le secteur des télécommunications en Asie centrale avec des versions de logiciels malveillants tels que ShadowPad et PlugX.
La société de cybersécurité SentinelOne a lié les intrusions à un acteur qu’elle suit sous le nom de « Moshen Dragon », avec des chevauchements tactiques entre le collectif et un autre groupe de menaces appelé Nomad Panda (alias RedFoxtrot).
« PlugX et ShadowPad ont une histoire d’utilisation bien établie parmi les acteurs de la menace de langue chinoise, principalement pour des activités d’espionnage », a déclaré Joey Chen de SentinelOne. mentionné. « Ces outils ont des fonctionnalités flexibles et modulaires et sont compilés via un shellcode pour contourner facilement les produits traditionnels de protection des terminaux. »
ShadowPad, qualifié de « chef-d’œuvre de logiciels malveillants vendus par des particuliers dans l’espionnage chinois », est devenu le successeur de PlugX en 2015, alors même que des variantes de ce dernier ont continuellement fait leur apparition dans le cadre de différentes campagnes associées à des acteurs chinois de la menace.
Bien que connu pour être déployé par le groupe de piratage parrainé par le gouvernement surnommé Bronze Atlas (alias APT41, Barium ou Winnti) depuis au moins 2017, un nombre toujours croissant d’autres acteurs de la menace liés à la Chine ont rejoint la mêlée.
Plus tôt cette année, Secureworks a attribué des groupes d’activités ShadowPad distincts à des groupes d’États-nations chinois qui opèrent en alignement avec l’agence de renseignement civile du ministère chinois de la Sécurité d’État (MSS) et l’Armée populaire de libération (APL).
Les dernières découvertes de SentinelOne concordent avec un rapport précédent de Trellix fin mars qui a révélé une campagne d’attaque RedFoxtrot ciblant les secteurs des télécommunications et de la défense en Asie du Sud avec une nouvelle variante du malware PlugX nommé Talisman.
Les TTP de Moshen Dragon impliquent l’abus de logiciels antivirus légitimes appartenant à BitDefender, Kaspersky, McAfee, Symantec et Trend Micro pour charger ShadowPad et Talisman sur des systèmes compromis au moyen d’une technique appelée Piratage d’ordre de recherche de DLL.
Dans l’étape suivante, la DLL piratée est utilisée pour déchiffrer et charger la charge utile ShadowPad ou PlugX finale qui réside dans le même dossier que celui de l’exécutable antivirus. La persistance est obtenue en créant une tâche planifiée ou un service.
Nonobstant le détournement de produits de sécurité, d’autres tactiques adoptées par le groupe incluent l’utilisation d’outils de piratage connus et de scripts d’équipe rouge pour faciliter le vol d’informations d’identification, les mouvements latéraux et l’exfiltration de données. Le vecteur d’accès initial reste encore flou.
« Une fois que les attaquants ont pris pied dans une organisation, ils procèdent à un mouvement latéral en tirant parti d’Impacket au sein du réseau, en plaçant une porte dérobée passive dans l’environnement de la victime, en récoltant autant d’informations d’identification que possible pour assurer un accès illimité et en se concentrant sur l’exfiltration de données, « , a déclaré Chen.