News
SentinelLabs identifie un nouveau groupe de cybercriminels qui utilise SparkRAT et des malwares basés sur le code source Golang pour échapper à la détection
janvier 2023 par SentinelLabs
SentinelLabs, la division de recherche de SentinelOne, a découvert et analysé le mode opératoire d’un nouveau groupe de cybercriminels ciblant des entreprises de l’Asie de l’Est (Taïwan, Hong Kong, Chine et Singapour). Nommé DragonSpark, il utilise une technique inédite d’interprétation du code source Golang pour échapper à la détection, tout en déployant des outils open source, comme SparkRAT.
DragonSpark, qui mène diverses activités malveillantes, telles que le déplacement latéral, l’escalade de privilèges et le déploiement de malwares, s’appuie sur des outils open source développés par des développeurs ou des fournisseurs chinois, dont SparkRAT. Peu connu, ce cheval de Troie d’accès à distance, multiplateforme et riche en fonctionnalités (exécution de commandes, manipulation du système, manipulation de fichiers et de processus, vol d’informations), prend en charge les systèmes d’exploitation Windows, Linux et macOS.
« Les acteurs de la menace parlant chinois ont tendance à souvent utiliser des logiciels open source dans leurs campagnes malveillantes. Peu connu, SparkRAT que nous avons observé dans les attaques DragonSpark est l’un des plus récents. Nous estimons que ce RAT restera à l’avenir très attrayant pour les cybercriminels et autres acteurs de la menace » a confirmé SentinelLabs.
Le groupe de cybercriminels utilise également une nouvelle technique pour entraver l’analyse statique et échapper à la détection : l’interprétation du code source Golang.
Selon SentinelLabs, qui continue de surveiller activement DragonSpark, il est très probable que les cybercriminels à l’origine de ces attaques, parlent chinois.
