{"id":311347,"date":"2022-08-13T12:15:24","date_gmt":"2022-08-13T14:15:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-ont-detourne-lapplication-mimi-chat-pour-cibler-les-utilisateurs-de-windows-linux-et-macos\/"},"modified":"2022-08-13T12:15:26","modified_gmt":"2022-08-13T14:15:26","slug":"des-hackers-chinois-ont-detourne-lapplication-mimi-chat-pour-cibler-les-utilisateurs-de-windows-linux-et-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-hackers-chinois-ont-detourne-lapplication-mimi-chat-pour-cibler-les-utilisateurs-de-windows-linux-et-macos\/","title":{"rendered":"Des hackers chinois ont d\u00e9tourn\u00e9 l&#8217;application MiMi Chat pour cibler les utilisateurs de Windows, Linux et macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une paire de rapports d&#8217;entreprises de cybers\u00e9curit\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sekoia.io\/luckymouse-uses-a-backdoored-electron-app-to-target-macos\/\" target=\"_blank\">SEKOIA<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/h\/irontiger-compromises-chat-app-Mimi-targets-windows-mac-linux-users.html\" target=\"_blank\">Trend Micro<\/a> met en lumi\u00e8re une nouvelle campagne men\u00e9e par un acteur mena\u00e7ant chinois nomm\u00e9 <b>Souris chanceuse<\/b> qui implique l&#8217;utilisation d&#8217;une version cheval de Troie d&#8217;une application de messagerie multiplateforme pour les syst\u00e8mes de porte d\u00e9rob\u00e9e.<\/p>\n<p>Les cha\u00eenes d&#8217;infection exploitent une application de chat appel\u00e9e MiMi, avec ses fichiers d&#8217;installation compromis pour t\u00e9l\u00e9charger et installer des exemples HyperBro pour le syst\u00e8me d&#8217;exploitation Windows et des artefacts rshell pour Linux et macOS.<\/p>\n<p>Pas moins de 13 entit\u00e9s diff\u00e9rentes situ\u00e9es \u00e0 Ta\u00efwan et aux Philippines ont \u00e9t\u00e9 la cible des attaques, dont huit ont \u00e9t\u00e9 touch\u00e9es par des rshells.  La premi\u00e8re victime de rshell a \u00e9t\u00e9 signal\u00e9e \u00e0 la mi-juillet 2021.<\/p>\n<p>Lucky Mouse, \u00e9galement appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/emissary_panda\" target=\"_blank\">APT27<\/a>Bronze Union, Emissary Panda et Iron Tiger, est connue pour \u00eatre active depuis 2013 et a l&#8217;habitude d&#8217;avoir acc\u00e8s \u00e0 des r\u00e9seaux cibl\u00e9s dans la poursuite de ses objectifs politiques et militaires de collecte de renseignements align\u00e9s sur la Chine.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>L&#8217;acteur avanc\u00e9 de menace persistante (APT) est \u00e9galement apte \u00e0 exfiltrer des informations de grande valeur \u00e0 l&#8217;aide d&#8217;une large gamme d&#8217;implants personnalis\u00e9s tels que SysUpdate, <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.hyperbro\" target=\"_blank\">HyperFr\u00e8re<\/a>et PlugX.<\/p>\n<p>Le dernier d\u00e9veloppement est important, notamment parce qu&#8217;il marque la tentative d&#8217;introduction de l&#8217;acteur mena\u00e7ant de cibler macOS aux c\u00f4t\u00e9s de Windows et Linux.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Application MiMi Chat\" border=\"0\" data-original-height=\"438\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1660400124_851_Des-hackers-chinois-ont-detourne-lapplication-MiMi-Chat-pour-cibler.jpg\" title=\"Application MiMi Chat\" \/><\/div>\n<p>La campagne a toutes les caract\u00e9ristiques d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/d\/iron-tiger-apt-updates-toolkit-with-evolved-sysupdate-malware-va.html\" target=\"_blank\">attaque de la cha\u00eene d&#8217;approvisionnement<\/a> en ce que les serveurs principaux h\u00e9bergeant les installateurs d&#8217;applications de MiMi sont contr\u00f4l\u00e9s par Lucky Mouse, ce qui permet de modifier l&#8217;application pour r\u00e9cup\u00e9rer les portes d\u00e9rob\u00e9es \u00e0 partir d&#8217;un serveur distant.<\/p>\n<p>Cela est confirm\u00e9 par le fait que la version 2.3.0 de macOS de l&#8217;application a \u00e9t\u00e9 falsifi\u00e9e pour ins\u00e9rer le code JavaScript malveillant le 26 mai 2022. Bien qu&#8217;il s&#8217;agisse peut-\u00eatre de la premi\u00e8re variante macOS compromise, les versions 2.2.0 et 2.2.1 con\u00e7ues pour Il a \u00e9t\u00e9 constat\u00e9 que Windows int\u00e8gre des ajouts similaires d\u00e8s le 23 novembre 2021.<\/p>\n<p>rshell, pour sa part, est une porte d\u00e9rob\u00e9e standard qui vient avec toutes les cloches et sifflets habituels, permettant l&#8217;ex\u00e9cution de commandes arbitraires re\u00e7ues d&#8217;un serveur de commande et de contr\u00f4le (C2) et retransmettant les r\u00e9sultats de l&#8217;ex\u00e9cution \u00e0 le serveur.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Il n&#8217;est pas imm\u00e9diatement clair si MiMi est un programme de chat l\u00e9gitime, ou s&#8217;il a \u00e9t\u00e9 &#8220;con\u00e7u ou r\u00e9utilis\u00e9 comme un outil de surveillance&#8221;, bien que l&#8217;application ait \u00e9t\u00e9 utilis\u00e9e par un autre acteur de langue chinoise surnomm\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/cybercrime-and-digital-threats\/exposing-earth-berberoka-a-multiplatform-apt-campaign-targeting-online-gambling-sites\" target=\"_blank\">Terre Berberoka<\/a> (alias GamblingPuppet) destin\u00e9 aux sites de jeu en ligne &#8211; une fois de plus r\u00e9v\u00e9lateur du partage d&#8217;outils r\u00e9pandu parmi les groupes APT chinois.<\/p>\n<p>Les connexions de l&#8217;op\u00e9ration \u00e0 Lucky Mouse proviennent de liens vers des infrastructures pr\u00e9c\u00e9demment identifi\u00e9es comme \u00e9tant utilis\u00e9es par l&#8217;ensemble d&#8217;intrusion China-nexus et le d\u00e9ploiement d&#8217;HyperBro, une porte d\u00e9rob\u00e9e exclusivement utilis\u00e9e par le groupe de pirates.<\/p>\n<p>Comme le souligne SEKOIA, ce n&#8217;est pas la premi\u00e8re fois que l&#8217;adversaire a recours \u00e0 une application de messagerie comme point de d\u00e9part dans ses attaques.  Fin 2020, ESET a r\u00e9v\u00e9l\u00e9 qu&#8217;un logiciel de chat populaire appel\u00e9 Able Desktop avait \u00e9t\u00e9 abus\u00e9 pour fournir HyperBro, PlugX et un cheval de Troie d&#8217;acc\u00e8s \u00e0 distance appel\u00e9 Tmanger ciblant la Mongolie.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/08\/chinese-hackers-backdoored-mimi-chat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une paire de rapports d&#8217;entreprises de cybers\u00e9curit\u00e9 SEKOIA et Trend Micro met en lumi\u00e8re une nouvelle campagne men\u00e9e par un acteur mena\u00e7ant chinois nomm\u00e9 Souris chanceuse qui implique l&#8217;utilisation d&#8217;une version cheval de Troie d&#8217;une application de messagerie multiplateforme pour les syst\u00e8mes de porte d\u00e9rob\u00e9e. Les cha\u00eenes d&#8217;infection exploitent une application de chat appel\u00e9e MiMi, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":311348,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[255,5663,11338,4168,4158,4165,4161,133,14825,6578,4157,4159,4171,4170,838,65,18088,4167,34503,45664,98340,4163,4162,249,185,4172,4169,7529,4166,4164,45020],"class_list":["post-311347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chat","tag-chinois","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-detourne","tag-hackers","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-lapplication","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-macos","tag-mimi","tag-mises-a-jour-de-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pour","tag-securite-informatique","tag-securite-internet","tag-utilisateurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/311347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=311347"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/311347\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/311348"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=311347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=311347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=311347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}