L’acteur de menace connu sous le nom de Space Pirates a été lié à une campagne malveillante ciblant les organisations de technologies de l’information russe (TI) avec un logiciel malveillant auparavant sans papiers appelé Luckystrike Agent.
L’activité a été détectée en novembre 2024 par Solar, la branche de cybersécurité de la société de télécommunications d’État russe Rostelecom. Il suit l’activité sous le nom d’Erudite Mogwai.
Les attaques sont également caractérisées par l’utilisation d’autres outils comme Deed Rat, également appelée ShadowPad Light, et une version personnalisée de utilitaire proxy Nommé Stowaway, qui a déjà été utilisé par d’autres groupes de piratage liés à la Chine.
“Erudite Mogwai est l’un des groupes APT actifs spécialisés dans le vol d’informations confidentielles et d’espionnage”, chercheurs solaires dit. “Depuis au moins 2017, le groupe attaque les agences gouvernementales, les services informatiques de diverses organisations, ainsi que les entreprises liées à des industries de haute technologie telles que l’aérospatiale et l’énergie électrique.”
L’acteur de menace a d’abord été documenté publiquement par des technologies positives en 2022, détaillant son utilisation exclusive du malware de rat de Deed. On pense que le groupe partage des chevauchements tactiques avec un autre groupe de piratage appelé Webworm. Il est connu pour cibler les organisations en Russie, en Géorgie et en Mongolie.
Dans l’une des attaques ciblant un client du secteur gouvernemental, Solar a déclaré avoir découvert l’attaquant déploiement de divers outils pour faciliter la reconnaissance, tout en abandonnant Luckystrike Agent, une porte dérobée .NET multifonctionnelle qui utilise Microsoft OneDrive pour la commande et le contrôle (C2).
“Les attaquants ont eu accès à l’infrastructure en compromettant un service Web accessible au public au plus tard en mars 2023, puis ont commencé à chercher des` `fruits bas ” dans l’infrastructure”, a déclaré Solar. “Au cours de 19 mois, les attaquants se sont lentement répandus sur les systèmes du client jusqu’à ce qu’ils atteignent les segments de réseau connectés à la surveillance en novembre 2024.”
Il convient également de noter l’utilisation d’une version modifiée de Stowaway pour conserver uniquement ses fonctionnalités de proxy, ainsi que LZ4 comme algorithme de compression, incorporant XXTEA comme algorithme de chiffrement et ajoutant un support pour le protocole de transport Quic.
“Erudite Mogwai a commencé leur voyage dans la modification de cet utilitaire en réduisant la fonctionnalité dont ils n’avaient pas besoin”, a déclaré Solar. “Ils ont continué avec des modifications mineures, telles que le renommer des fonctions et la modification des tailles des structures (probablement pour éliminer les signatures de détection existantes). Pour le moment, la version de Stowaway utilisée par ce groupe peut être appelée une fourche à part entière.”



