Une entité gouvernementale en Guyane a été ciblée dans le cadre d’une campagne de cyberespionnage baptisée Opération Jacana.
Le activitédétecté par ESET en février 2023, impliquait une attaque de spear phishing qui a conduit au déploiement d’un implant jusqu’alors non documenté écrit en C++ appelé DinodasRAT.
La société de cybersécurité slovaque a déclaré qu’elle pourrait lier l’intrusion à un acteur ou à un groupe menaçant connu, mais l’a attribuée avec un niveau de confiance moyen à un adversaire lié à la Chine en raison de l’utilisation de PlugX (alias Korplug), un cheval de Troie d’accès à distance commun aux équipes de piratage chinois.
« Cette campagne était ciblée, car les auteurs de la menace ont conçu leurs e-mails spécifiquement pour attirer l’organisation victime qu’ils ont choisie », ESET dit dans un rapport partagé avec The Hacker News.
« Après avoir réussi à compromettre un ensemble initial mais limité de machines avec DinodasRAT, les opérateurs se sont déplacés à l’intérieur et ont pénétré dans le réseau interne de la cible, où ils ont de nouveau déployé cette porte dérobée. »
La séquence d’infection a commencé par un e-mail de phishing contenant un lien piégé avec des lignes d’objet faisant référence à un reportage présumé sur un fugitif guyanais au Vietnam.
Si un destinataire clique sur le lien, un fichier d’archive ZIP est téléchargé à partir du domaine fta.moit.gov.[.]vn, indiquant un compromis d’un site Web gouvernemental vietnamien pour héberger la charge utile.
L’archive ZIP contient un exécutable qui lance le malware DinodasRAT pour collecter des informations sensibles sur l’ordinateur d’une victime.
DinodasRAT, en plus de chiffrer les informations qu’il envoie au serveur de commande et de contrôle (C2) à l’aide du Tiny Encryption Algorithm (TEA), est doté de fonctionnalités permettant d’exfiltrer les métadonnées du système, les fichiers, de manipuler les clés de registre Windows et d’exécuter des commandes.
Sont également déployés des outils de mouvement latéral, Korplug, et le client VPN SoftEther, ce dernier ayant été utilisé par un autre cluster affilié à la Chine suivi par Microsoft sous le nom de Flax Typhoon.
« Les attaquants ont utilisé une combinaison d’outils jusqu’alors inconnus, tels que DinodasRAT, et des portes dérobées plus traditionnelles telles que Korplug », a déclaré Fernando Tavella, chercheur d’ESET.
« Sur la base des e-mails de spear phishing utilisés pour obtenir un premier accès au réseau de la victime, les opérateurs suivent les activités géopolitiques de leurs victimes pour augmenter les chances de succès de leur opération. »