Des chercheurs en cybersécurité ont découvert ce qu’ils considèrent comme une cyberactivité malveillante orchestrée par deux importants groupes de piratage d’État chinois ciblant 24 organisations gouvernementales cambodgiennes.
« On pense que cette activité fait partie d’une campagne d’espionnage à long terme », ont déclaré les chercheurs de l’unité 42 de Palo Alto Networks. dit dans un rapport la semaine dernière.
« L’activité observée s’aligne sur les objectifs géopolitiques du gouvernement chinois, qui cherche à tirer parti de ses relations solides avec le Cambodge pour projeter sa puissance et étendre ses opérations navales dans la région. »
Les organisations ciblées comprennent la défense, la surveillance des élections, les droits de l’homme, la trésorerie et les finances nationales, le commerce, la politique, les ressources naturelles et les télécommunications.
L’évaluation découle de la nature persistante des connexions réseau entrantes provenant de ces entités vers une infrastructure contradictoire liée à la Chine qui se fait passer pour des services de sauvegarde et de stockage dans le cloud sur une « période de plusieurs mois ».
Certains des noms de domaine de commande et de contrôle (C2) sont répertoriés ci-dessous :
- api.infinitycloud[.]Info
- connecter.infinitycloud[.]Info
- connecter.infinitybackup[.]filet
- fichier.wonderbackup[.]com
- connexion.wonderbackup[.]com
- mise à jour.wonderbackup[.]com
Il s’agit probablement d’une tentative des attaquants de passer inaperçus et de se fondre dans le trafic réseau légitime.
De plus, les liens avec la Chine reposent sur le fait que l’activité de l’acteur menaçant a été observée principalement pendant les heures normales de bureau en Chine, avec une baisse enregistrée fin septembre et début octobre 2023, coïncidant avec le Jours fériés de la Golden Weekavant de revenir à des niveaux normaux le 9 octobre.
Des groupes de piratage liés à la Chine tels que Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat et UNC4191 ont lancé une série de campagnes d’espionnage ciblant les secteurs public et privé à travers l’Asie ces derniers mois.
Le mois dernier, Elastic Security Labs a détaillé un ensemble d’intrusions nommé REF5961 qui exploitait des portes dérobées personnalisées telles que EAGERBEE, RUDEBIRD, CENTRE-VILLEet ALCHIMIE DU SANG dans ses attaques dirigées contre les pays de l’Association des nations de l’Asie du Sud-Est (ASEAN).
Les familles de logiciels malveillants « se sont avérées co-résidentes d’un ensemble d’intrusions précédemment signalé, REF2924 », ce dernier étant considéré comme un groupe aligné sur la Chine en raison de son utilisation de ShadowPad et de ses chevauchements tactiques avec Winnti et ChamelGang.
Ces révélations font également suite à un rapport de Recorded Future soulignant l’évolution de l’activité de cyberespionnage chinois, la décrivant comme plus mature et coordonnée, et mettant fortement l’accent sur l’exploitation des failles connues et zero-day dans les serveurs de messagerie, la sécurité et les réseaux publics. appareils électroménagers.
Depuis début 2021, des groupes parrainés par l’État chinois ont été attribués à l’exploitation de 23 vulnérabilités zero-day, notamment celles identifiées dans Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway et Atlassian. Centre de données et serveur Confluence.
Les cyber-opérations parrainées par l’État ont évolué « d’un vaste vol de propriété intellectuelle à une approche plus ciblée soutenant des objectifs stratégiques, économiques et géopolitiques spécifiques, tels que ceux liés à l’initiative « la Ceinture et la Route » et aux technologies critiques », a déclaré la société. dit.