Une campagne de cyberespionnage « pluriannuelle » parrainée par l’État chinois a été observée ciblant des organisations universitaires, politiques et gouvernementales sud-coréennes.
Insikt Group de Recorded Future, qui est suivi l’activité sous le surnom de TAG-74, a déclaré que l’adversaire a été lié aux « renseignements militaires chinois et constitue une menace importante pour les entités universitaires, aérospatiales et de défense, gouvernementales, militaires et politiques en Corée du Sud, au Japon et en Russie ».
La société de cybersécurité a qualifié le ciblage des institutions universitaires sud-coréennes de conforme aux efforts plus larges de la Chine visant à commettre des vols de propriété intellectuelle et à étendre son influence, sans parler des relations stratégiques du pays avec les États-Unis.
Les attaques d’ingénierie sociale montées par l’adversaire utilisent des leurres de fichiers Microsoft Compiled HTML Help (CHM) pour supprimer une variante personnalisée d’une porte dérobée open source Visual Basic Script appelée ReVBSshellqui sert ensuite à déployer le cheval de Troie d’accès à distance Bisonal.
ReVBShell est configuré pour dormir pendant un intervalle spécifié via une commande émise à partir d’un serveur distant qui peut modifier la période de temps. Il utilise également le codage Base64 pour masquer le trafic de commande et de contrôle (C2).
L’utilisation de ReVBShell a été liée à deux autres clusters liés à la Chine connus sous le nom de Tick et Tonto Team, ce dernier étant attribué à une séquence d’infection identique par l’AhnLab Security Emergency Response Center (ASEC) en avril 2023.
Le bisonal est un multifonctionnel troyen qui peut récolter des informations sur les processus et les fichiers, exécuter des commandes et des fichiers, terminer des processus, télécharger et télécharger des fichiers et supprimer des fichiers arbitraires sur le disque.
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
TAG-74 serait étroitement lié à Tick, soulignant une fois de plus le partage d’outils répandu entre les groupes menaçants chinois.
« La campagne TAG-74 observée est révélatrice des objectifs à long terme du groupe en matière de collecte de renseignements contre des cibles sud-coréennes », a déclaré Recorded Future.
« Étant donné l’attention persistante du groupe sur les organisations sud-coréennes depuis de nombreuses années et la compétence opérationnelle probable du Commandement du Théâtre du Nord, le groupe continuera probablement à être très actif dans la collecte de renseignements à long terme sur des cibles stratégiques en Corée du Sud. comme au Japon et en Russie. »