L’outil exploite des cookies dérobés via les plugins MgBot pour accéder aux données stockées sur les services cloud (Google Drive, Gmail, Outlook).
Trois modules ont été identifiés à ce jour, mais les chercheurs estiment qu’au moins sept autres existent.
Opérationnel entre 2022 et 2023, CloudScout a ciblé une institution religieuse et une entité gouvernementale à Taïwan.

Benoit Grunemwald, expert cybersécurité chez ESET explique : « Cette attaque, bien que ciblant Taiwan, montre comment un groupe avancé peut s’introduire dans des ressources cloud sans nécessiter le mot de passe de l’utilisateur ou compromettre son authentification MFA. Il s’agit du pire scénario grave. Si ces outils deviennent accessibles au plus grand nombre, il sera compliqué pour tout un chacun de se protéger de telles intrusions. Il est important de continuer à rendre la tâche la plus ardue possible aux cybercriminels en activant le MFA et en ayant une politique de mot de passe forte, sans oublier que le endpoint reste un point crucial de la protection des entreprises ».

Les chercheurs d’ESET ont identifié un nouvel arsenal d’outils baptisé CloudScout, utilisé par le groupe Evasive Panda lié à la Chine pour des opérations de cyber espionnage.

Ces outils permettent d’accéder illégalement aux données stockées sur des services cloud comme Google Drive, Gmail et Outlook. Entre 2022 et 2023, CloudScout a ciblé une organisation gouvernementale et une institution religieuse à Taïwan, exploitant des cookies de session Web dérobés.

Evasive Panda a mis en œuvre trois modules .NET inédits pour infiltrer les services cloud publics en détournant des sessions Web authentifiées. La technique consiste à extraire les cookies des bases de données des navigateurs, pour accéder aux services cloud via des requêtes Web spécifiques. Cette méthode, qui utilise directement la machine de la victime, contourne les dispositifs de sécurité traditionnels comme l’authentification multi-facteurs et le suivi de l’adresse IP. CloudScout fonctionne comme un plugin de la porte dérobée MgBot. Les requêtes Web découvertes sont spécifiquement configurées pour cibler les utilisateurs taïwanais.

La chronologie des attaques révèle qu’en mai 2022, une institution religieuse taïwanaise a été compromise par MgBot et Nightdoor, permettant le déploiement de CloudScout. En février 2023, ces outils ont été détectés au sein d’une probable entité gouvernementale taïwanaise.

Les modules CloudScout simulent une navigation utilisateur classique après authentification. Ils utilisent des requêtes Web prédéfinies et des analyseurs HTML sophistiqués pour identifier et extraire les données sensibles. Le processus s’achève par une phase d’exfiltration suivie d’un nettoyage minutieux, ne laissant que les fichiers destinés à être dérobés. Le module peut ensuite s’arrêter ou attendre de nouvelles instructions via un fichier de configuration.

D’après Anh Ho, chercheur chez ESET qui a découvert CloudScout, « la sophistication de cet outil témoigne des capacités techniques avancées d’Evasive Panda et souligne l’importance stratégique des données cloud dans leurs opérations d’espionnage. »

Evasive Panda (aussi connu comme BRONZE HIGHLAND, Daggerfly ou StormBamboo) opère depuis 2012. Ce groupe de cyberespionnage cible principalement les opposants aux intérêts chinois : diaspora tibétaine, institutions religieuses et académiques à Taïwan et Hong Kong, militants pro-démocratie. Les activités de ce groupe s’étendent également au Vietnam, au Myanmar et en Corée du Sud. Le groupe se distingue par ses méthodes d’attaque variées, incluant des compromissions de chaîne d’approvisionnement, des attaques de points d’eau et des détournements de DNS.

Pour une analyse détaillée et une description technique de CloudScout, consultez le dernier article de blog d’ESET Research "CloudScout : Espionnage évasif des services cloud de Panda" sur WeLiveSecurity.com.