Les groupes de cyberespionnage associés à la Chine sont liés à une campagne de longue durée qui a infiltré plusieurs opérateurs de télécommunications situés dans un seul pays asiatique au moins depuis 2021.
« Les attaquants ont placé des portes dérobées sur les réseaux des entreprises ciblées et ont également tenté de voler des informations d’identification », a déclaré l’équipe Symantec Threat Hunter, qui fait partie de Broadcom. dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité n’a pas révélé le pays ciblé, mais a déclaré avoir trouvé des preuves suggérant que la cyberactivité malveillante pourrait avoir commencé dès 2020.
Les attaques ont également visé une société de services anonyme qui s’adressait au secteur des télécommunications et une université dans un autre pays asiatique, a-t-il ajouté.
Le choix des outils utilisés dans cette campagne recoupe d’autres missions menées par des groupes d’espionnage chinois comme Mustang Panda (alias Earth Preta et Fireant), RedFoxtrot (alias Neeedleminer et Nomad Panda) et Naikon (alias Firefly) ces dernières années.
Cela inclut les portes dérobées personnalisées suivies comme COOLCLIENT, QUICKHEAL et RainyDay, dotées de fonctionnalités permettant de capturer des données sensibles et d’établir une communication avec un serveur de commande et de contrôle (C2).
Bien que la voie d’accès initiale exacte utilisée pour atteindre les objectifs soit actuellement inconnue, la campagne se distingue également par le déploiement d’outils d’analyse des ports et le vol d’informations d’identification via le dumping de Ruches du registre Windows.
Le fait que les outils soient connectés à trois collectifs adverses différents a soulevé plusieurs possibilités : les attaques sont menées indépendamment les unes des autres, un seul acteur menaçant utilise des outils acquis auprès d’autres groupes, ou divers acteurs collaborent sur une seule campagne.
Le motif principal de ces intrusions n’est pas non plus clair à ce stade, même si les acteurs chinois de la menace ont l’habitude de cibler le secteur des télécommunications à travers le monde.
En novembre 2023, Kaspersky révélé une campagne de malware ShadowPad ciblant l’une des sociétés de télécommunications nationales du Pakistan en exploitant des failles de sécurité connues dans Microsoft Exchange Server (CVE-2021-26855 alias ProxyLogon).
« Les attaquants pourraient avoir collecté des renseignements sur le secteur des télécommunications dans ce pays », a postulé Symantec. « Les écoutes clandestines sont une autre possibilité. Alternativement, les attaquants pourraient avoir tenté de créer une capacité perturbatrice contre les infrastructures critiques de ce pays. »