Un acteur mena\u00e7ant parrain\u00e9 par le gouvernement li\u00e9 \u00e0 la Chine a \u00e9t\u00e9 observ\u00e9 ciblant des russophones avec une version mise \u00e0 jour d’un cheval de Troie d’acc\u00e8s \u00e0 distance appel\u00e9 PlugX.<\/p>\n
Secureworks a attribu\u00e9 les tentatives d’intrusion \u00e0 un acteur mena\u00e7ant qu’il suit en tant que pr\u00e9sident de bronze, et \u00e0 la communaut\u00e9 de la cybers\u00e9curit\u00e9 au sens large sous les noms de Mustang Panda, TA416, HoneyMyte, RedDelta et PKPLUG.<\/p>\n
“La guerre en Ukraine a incit\u00e9 de nombreux pays \u00e0 d\u00e9ployer leurs cybercapacit\u00e9s pour mieux comprendre les \u00e9v\u00e9nements mondiaux, les machinations politiques et les motivations”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. mentionn\u00e9<\/a> dans un rapport partag\u00e9 avec The Hacker News. “Ce d\u00e9sir de connaissance de la situation s’\u00e9tend souvent \u00e0 la collecte de renseignements aupr\u00e8s d’alli\u00e9s et d'”amis”.”<\/p>\n Bronze President, actif depuis au moins juillet 2018, a l’habitude de mener des op\u00e9rations d’espionnage en exploitant des outils personnalis\u00e9s et accessibles au public pour compromettre, maintenir un acc\u00e8s \u00e0 long terme et collecter des donn\u00e9es aupr\u00e8s de cibles d’int\u00e9r\u00eat.<\/p>\n Le principal de ses outils est PlugX, une porte d\u00e9rob\u00e9e Windows qui permet aux pirates d’ex\u00e9cuter diverses commandes sur des syst\u00e8mes infect\u00e9s et qui a \u00e9t\u00e9 utilis\u00e9e par plusieurs acteurs chinois parrain\u00e9s par l’\u00c9tat au fil des ans.<\/p>\n Les derni\u00e8res d\u00e9couvertes de Secureworks sugg\u00e8rent une extension de la m\u00eame campagne pr\u00e9c\u00e9demment d\u00e9taill\u00e9e par Proofpoint et ESET le mois dernier, qui a impliqu\u00e9 l’utilisation d’une nouvelle variante de PlugX nomm\u00e9e Hodur, ainsi \u00e9tiquet\u00e9e en raison de ses chevauchements avec une autre version appel\u00e9e THOR qui a \u00e9merg\u00e9 sur le sc\u00e8ne en juillet 2021.<\/p>\n La cha\u00eene d’attaque commence par un ex\u00e9cutable malveillant nomm\u00e9 “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” qui se fait passer pour un document apparemment l\u00e9gitime avec une ic\u00f4ne PDF, qui, une fois ouvert, conduit au d\u00e9ploiement d’une charge utile PlugX crypt\u00e9e \u00e0 partir d’un serveur distant. <\/p>\n “Blagoveshchensk est une ville russe proche de la fronti\u00e8re chinoise et abrite le 56e d\u00e9tachement de gardes-fronti\u00e8res de la banni\u00e8re rouge Blagoveshchenskiy”, ont d\u00e9clar\u00e9 les chercheurs. “Cette connexion sugg\u00e8re que le nom du fichier a \u00e9t\u00e9 choisi pour cibler des responsables ou des militaires familiers avec la r\u00e9gion.”<\/p>\n Le fait que des responsables russes aient pu \u00eatre la cible de la campagne de mars 2022 indique que l’acteur mena\u00e7ant fait \u00e9voluer ses tactiques en r\u00e9ponse \u00e0 la situation politique en Europe et \u00e0 la guerre en Ukraine.<\/p>\n “Le ciblage des utilisateurs russophones et des entit\u00e9s europ\u00e9ennes sugg\u00e8re que les acteurs de la menace ont re\u00e7u des t\u00e2ches mises \u00e0 jour qui refl\u00e8tent l’\u00e9volution des exigences de collecte de renseignements du [People’s Republic of China]”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n Les r\u00e9sultats surviennent des semaines apr\u00e8s qu’un autre groupe d’\u00c9tats-nations bas\u00e9 en Chine connu sous le nom de Nomad Panda (alias RedFoxtrot) a \u00e9t\u00e9 li\u00e9 avec une confiance moyenne \u00e0 des attaques contre les secteurs de la d\u00e9fense et des t\u00e9l\u00e9communications en Asie du Sud en exploitant une autre version de PlugX surnomm\u00e9e Talisman.<\/p>\n “PlugX a \u00e9t\u00e9 associ\u00e9 \u00e0 divers acteurs chinois ces derni\u00e8res ann\u00e9es”, d\u00e9clare Trellix c’est not\u00e9<\/a> le mois dernier. “Ce fait soul\u00e8ve la question de savoir si la base de code du malware est partag\u00e9e entre diff\u00e9rents groupes soutenus par l’\u00c9tat chinois.”<\/p>\n “D’autre part, la fuite pr\u00e9sum\u00e9e du constructeur PlugX v1, telle que rapport\u00e9e par Airbus en 2015, indique que toutes les occurrences de PlugX ne sont pas n\u00e9cessairement li\u00e9es \u00e0 des acteurs chinois”, a ajout\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Les-logiciels-malveillants-piratant-les-medias-sociaux-se-propagent-via.png\")
<\/a><\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/Des-pirates-chinois-ciblant-le-personnel-militaire-russe-avec-une.jpg\" "\\"Logiciel")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n