La campagne décrite dans ce rapport se sert du HTML Smuggling pour cibler des instances de politique étrangère en Europe, et plus particulièrement en Europe de l’Est. Cette technique permet aux attaquants de dissimuler des charges utiles malveillantes à l’intérieur de documents HTML.
Il est probable qu’elle s’inscrive dans le prolongement direct d’une campagne déjà signalée, attribuée à RedDelta (et, dans une certaine mesure, au groupe Mustang Panda).
La campagne a recours à de nouvelles méthodes de diffusion pour déployer (notamment le HTML Smuggling) une nouvelle variante de PlugX, un implant généralement associé à un large éventail d’acteurs de la menace chinois. Malgré la ressemblance de la charge utile avec celle des anciennes variantes de PlugX, les techniques de diffusion utilisées par cette campagne permettent d’éviter une détection élevée et de contourner les mesures de sécurité avec succès. C’est pourquoi la campagne est restée inaperçue jusqu’à récemment.
La campagne d’e-mails SmugX utilise la technique du HTML Smuggling pour permettre le téléchargement d’un fichier JavaScript ou d’un fichier ZIP. This leads to a long infection chain which results in PlugX infection of the victim.

Leurres et cibles
Notre équipe a identifié que les leurres utilisés dans la campagne sont principalement axés sur les politiques intérieures et étrangères européennes, en particulier sur les instances gouvernementales. Ces leurres ont été spécifiquement conçus pour cibler les entités gouvernementales d’Europe centrale et orientale. En revanche, d’autres pays d’Europe occidentale ont également été mentionnés dans les leurres.

La majorité des documents contenaient des informations d’ordre diplomatique.
Dans plus d’un cas, le contenu était directement lié à la Chine et aux droits de l’homme en Chine.
Effectivement, les noms des fichiers archivés utilisés dans la campagne de leurres suggèrent fortement que les cibles visées étaient des diplomates et des fonctionnaires appartenant à ces entités gouvernementales. Voici quelques exemples de noms que nous avons identifiés :
• Draft Prague Process Action Plan_SOM_EN
• 2262_3_PrepCom_Proposal_next_meeting_26_April
• Comments FRANCE - EU-CELAC Summit - May 4
• 202305 Indicative Planning RELEX
• La Chine emprisonne deux avocats spécialisés dans les droits de l’homme et accusés de subversion

Conclusion
Au cours de notre étude, nous avons analysé une campagne récente qui met en évidence la transition de l’APT chinois vers un ciblage soutenu des entités gouvernementales en Europe. Au cours de notre analyse, nous avons identifié plusieurs chaînes d’infection qui exploitent la technique de contrebande HTML et qui aboutissent au déploiement de la charge utile PlugX.
La campagne « SmugX », dont nous avons examiné les détails, fait partie d’une tendance plus large dans laquelle les acteurs chinois de la menace ont réorienté leur attention vers les entités européennes, en mettant l’accent sur les entités gouvernementales.
CPR continuera à surveiller les tendances et rendra compte de la situation en conséquence.

Les clients de Check Point Software restent protégés contre la menace décrite dans cette étude.
Check Point Threat Emulation et Harmony Endpoint assurent une couverture complète des tactiques d’attaque, des types de fichiers et des systèmes d’exploitation et protègent contre le type d’attaques et de menaces décrites dans ce rapport.
Check Point Threat Emulation :
• APT.Wins.MustangPanda.AP
Harmony End Point
• APT.Win.PlugX.O
• APT.Win.PlugX.Q
• APT.Win.PlugX.R