L’acteur menaçant lié à la Chine connu sous le nom de Panda évasif a orchestré des attaques contre les points d’eau et la chaîne d’approvisionnement ciblant les utilisateurs tibétains au moins depuis septembre 2023.
La fin des attaques est de fournir des téléchargeurs malveillants pour Windows et macOS qui déploient une porte dérobée connue appelée MgBot et un implant Windows jusqu’alors non documenté connu sous le nom de Nightdoor.
Les conclusions proviennent d’ESET, qui a déclaré que les attaquants ont compromis au moins trois sites Web pour mener des attaques de point d’eau, ainsi qu’une compromission de la chaîne d’approvisionnement d’une société de logiciels tibétaine. L’opération a été découverte en janvier 2024.
Evasive Panda, actif depuis 2012 et également connu sous les noms de Bronze Highland et Daggerfly, avait déjà été révélé par la société de cybersécurité slovaque en avril 2023 comme ayant ciblé une organisation non gouvernementale (ONG) internationale en Chine continentale avec MgBot.
Un autre rapport de Symantec, propriété de Broadcom, à peu près au même moment, impliquait l’adversaire dans une campagne de cyberespionnage visant à infiltrer les fournisseurs de services de télécommunications en Afrique au moins depuis novembre 2022.
La dernière série de cyberattaques implique la compromission stratégique du site Internet du Kagyu International Monlam Trust (« www.kagyumonlam[.]org »).
« Les attaquants ont placé un script sur le site Web qui vérifie l’adresse IP de la victime potentielle et, si elle se trouve dans l’une des plages d’adresses ciblées, affiche une fausse page d’erreur pour inciter l’utilisateur à télécharger un « correctif » nommé certificat. » Chercheurs d’ESET dit.
« Ce fichier est un téléchargeur malveillant qui déploie la prochaine étape de la chaîne de compromission. » Les vérifications d’adresse IP montrent que l’attaque est spécifiquement conçue pour cibler les utilisateurs en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.
On soupçonne qu’Evasive Panda a profité du festival annuel Kagyu Monlam qui a eu lieu en Inde fin janvier et février 2024 pour cibler la communauté tibétaine de plusieurs pays et territoires.
L’exécutable – nommé « certificate.exe » sous Windows et « certificate.pkg » pour macOS – sert de rampe de lancement pour charger l’implant Nightdoor, qui, par la suite, abuse de l’API Google Drive pour la commande et le contrôle (C2).
En outre, la campagne se distingue par l’infiltration du site Web d’une société indienne de logiciels (« monlamit[.]com ») et la chaîne d’approvisionnement afin de distribuer les programmes d’installation Windows et macOS du logiciel de traduction en langue tibétaine. La compromission a eu lieu en septembre 2023.
« Les attaquants ont également abusé du même site Internet et d’un site d’information tibétain appelé Tibetpost – tibetpost.[.]net – pour héberger les charges utiles obtenues par les téléchargements malveillants, dont deux portes dérobées complètes pour Windows et un nombre inconnu de charges utiles pour macOS », ont noté les chercheurs.
Le cheval de Troie d’installation de Windows, pour sa part, déclenche une séquence d’attaque sophistiquée en plusieurs étapes pour supprimer MgBot ou Nightdoor, dont les signes ont été détectés dès 2020.
La porte dérobée est équipée de fonctionnalités permettant de collecter des informations sur le système, la liste des applications installées et les processus en cours d’exécution ; génère un shell inversé, effectue des opérations sur les fichiers et se désinstalle du système infecté.
« Les attaquants ont déployé plusieurs téléchargeurs, droppers et portes dérobées, dont MgBot – qui est utilisé exclusivement par Evasive Panda – et Nightdoor : le dernier ajout majeur à la boîte à outils du groupe et qui a été utilisé pour cibler plusieurs réseaux en Asie de l’Est », a déclaré ESET. .