Les chercheurs en cybersécurité ont fait la lumière sur un nouvel acteur de menace lié à la Chine appelée Alines de la Terre Cela a ciblé divers secteurs clés tels que le gouvernement, la technologie, la logistique, la fabrication, les télécommunications, les services informatiques et le commerce de détail dans les régions d’Asie-Pacifique (APAC) et d’Amérique latine (LATAM).
“La première observation de son activité a eu lieu au deuxième quart de 2023; à l’époque, il a été principalement observé dans la région de l’APAC”, a déclaré les micro-chercheurs Lenart Bermejo, Ted Lee et Theo Chen dit Dans un rapport technique publié lundi. “Vers le milieu de 2024, il a également été repéré en Amérique latine.”
Les principaux objectifs des pays collectifs contradictoires tels que la Thaïlande, les Philippines, la Malaisie, Taïwan et le Brésil.
Les chaînes d’infection commencent par l’exploitation de services vulnérables dans les applications Web exposées à Internet, en les utilisant pour supprimer le shell Web Godzilla pour faciliter le déploiement de charges utiles supplémentaires, y compris les décharges surnommées Vargeit et Cobeacon (aka Cobalt Strike Beacon).
Vargeit offre la possibilité de charger des outils directement de son serveur de commande et de contrôle (C&C) à un processus nouvellement engendré de Paint Microsoft (“mspaint.exe”) pour faciliter la reconnaissance, la collecte et l’exfiltration.
“Vargeit est également la principale méthode à travers laquelle Terre Alux exploite des outils supplémentaires pour diverses tâches, telles que le mouvement latéral et la découverte de réseau de manière sans fil”, ont déclaré les chercheurs.
Un point qui mérite d’être mentionné ici est que bien que Vargeit soit utilisé comme une porte dérobée première, deuxième ou ultérieure, Cobeacon est employé comme porte dérobée de première étape. Ce dernier est lancé au moyen d’un chargeur doublé Masqloader, ou via RSBinject, un chargeur de code de ligne de commande basé sur la rouille.
Des itérations ultérieures de Masqloader ont également été observées en mettant en œuvre une technique d’accrochage anti-API qui écrase tous les crochets ntdll.dll insérés par des programmes de sécurité pour détecter les processus suspects fonctionnant sur Windows, permettant ainsi au malware et à la charge utile intégrée à l’avion pour voler sous le radar.
L’exécution de Vargeit entraîne le déploiement de plus d’outils, y compris un composant de chargeur, Railload qui est exécuté à l’aide d’une technique connue sous le nom de chargement DLL, et est utilisée pour exécuter une charge utile cryptée située dans un dossier différent.
La deuxième charge utile est une persistance et horloge Module appelé Railsetter qui modifie les horodatages associés aux artefacts de Railload sur l’hôte compromis, ainsi que la création d’une tâche planifiée pour lancer Railload.
![]() |
| Interaction vargeit et contrôleur |
“Masqloader est également utilisé par d’autres groupes en plus de Earth Alux”, a déclaré Trend Micro. “De plus, la différence dans la structure de code de Masqloader par rapport à d’autres outils tels que Railsetter et Railload suggère que le développement de Masqloader est distinct de ces ensembles d’outils.”
L’aspect le plus distinctif de Vargeit est sa capacité à prendre en charge 10 canaux différents pour les communications C&C via HTTP, TCP, UDP, ICMP, DNS et Microsoft Outlook, dont le dernier exploite l’API du graphique pour échanger les commandes dans un format prédéterminé à l’aide du dossier des brouillons d’une boîte aux lettres à manches d’attaquante.
Plus précisément, le message du serveur C&C est admis avec R_, tandis que ceux de la porte dérobée sont préfixés avec P_. Parmi son large éventail de fonctions, il y a la vaste collecte de données et exécution de commandes, ce qui en fait un malware puissant dans l’arsenal de l’acteur de menace.
“Earth Alux effectue plusieurs tests avec Railload et Railsetter”, a déclaré Trend Micro. “Il s’agit notamment de tests de détection et de tentatives pour trouver de nouveaux hôtes pour le chargement latéral DLL. Les tests de chargement latéral DLL impliquent ZEROEYE, un outil open source populaire au sein de la communauté de langue chinoise, pour la numérisation des tableaux d’importation des fichiers EXE pour les DLL importées qui peuvent être abusés pour le chargement latéral.”
Le groupe de piratage s’est également avéré utiliser Virter, un autre outil de test largement utilisé par la communauté chinois, pour s’assurer que ses outils sont suffisamment furtifs pour maintenir un accès à long terme aux environnements cibles.
“Earth Alux représente une menace de cyberespionnage sophistiquée et évolutive, tirant parti d’une boîte à outils diversifiée et de techniques avancées pour infiltrer et compromettre une gamme de secteurs, en particulier dans la région de l’APAC et l’Amérique latine”, ont conclu les chercheurs. “Les tests et le développement continus du groupe de ses outils indiquent en outre un engagement à affiner ses capacités et à éluder la détection.”





