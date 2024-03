ESET Research découvre une opération de cyberespionnage qui cible des Tibétains

mars 2024 par Benoit Grunemwald Expert en Cyber sécurité, ESET France

• Les attaquants ont compromis le site Web de l’organisateur du festival annuel qui se déroule en Inde. Ils ont ajouté du code malveillant pour créer une attaque de point d’eau ciblant. Celle-ci vise des utilisateurs qui se connectent à partir de réseaux spécifiques.

• ESET a également découvert que la chaîne d’approvisionnement d’un développeur de logiciels avait été compromise et que des programmes d’installation trojanisés pour Windows et macOS étaient distribués aux visiteurs.

• Les attaquants ont déployé un certain nombre de téléchargeurs malveillants et de portes dérobées, y compris une porte dérobée non documentée publiquement pour Windows « Nightdoor ».

• Les utilisateurs ciblés étaient situés en Inde, à Taïwan, à Hong Kong, en Australie et aux États-Unis (y compris à Georgia Tech).

Les chercheurs d’ESET ont découvert une campagne de cyberespionnage qui, depuis au moins septembre 2023, cible des Tibétains. La campagne menée par le groupe APT Evasive Panda, aligné sur la Chine, s’est appuyée sur le festival Monlam, un rassemblement religieux international. Les pays visés sont l’Inde, Taïwan, Hong Kong, l’Australie et les États-Unis. Si le visiteur est identifié de l’un de ces pays, la technique du point d’eau (également connu sous le nom de compromission stratégique du Web) est activée. L’objectif est de distribuer des programmes d’installation trojanisés de logiciels de traduction en langue tibétaine. Ils contiennent des téléchargeurs malveillants pour Windows et macOS (MgBot) qui compromettent les visiteurs du site Web. ESET a également découvert l’utilisation d’une porte dérobée qui n’avait pas précédemment été documentée publiquement, que les chercheurs ont nommée « Nightdoor ».

ESET a découvert l’opération de cyberespionnage en janvier 2024. Le site Web compromis utilisé comme point d’eau (l’attaquant infecte un site Web que la victime utilise probablement ou régulièrement) appartient à Kagyu International Monlam Trust, une organisation basée en Inde qui promeut le bouddhisme tibétain à l’échelle internationale. L’attaque pourrait avoir eu pour but de capitaliser sur l’intérêt international pour le festival Kagyu Monlam qui se tient chaque année en janvier dans la ville de Bodhgaya, en Inde. Le réseau du Georgia Institute of Technology (également connu sous le nom de Georgia Tech) aux États-Unis fait partie des entités identifiées dans les plages d’adresses IP ciblées. Dans le passé, l’université mettait en garde contre des actions d’influence du Parti communiste chinois sur les établissements d’enseignement aux États-Unis.

Vers septembre 2023, les attaquants ont compromis le site Web d’une société de développement de logiciels basée en Inde qui produit des logiciels de traduction en tibétain. Les attaquants y ont placé plusieurs applications trojanisées qui déploient un téléchargeur malveillant pour Windows ou macOS.

Par ailleurs, les attaquants ont également abusé du même site Web et d’un site d’information tibétain appelé Tibetpost pour héberger les charges utiles obtenues par les téléchargements malveillants, y compris deux portes dérobées complètes pour Windows et un nombre inconnu de charges utiles pour macOS.

« Les attaquants ont déployé plusieurs téléchargeurs, droppers et portes dérobées, dont MgBot qui est utilisé exclusivement par Evasive Panda et Nightdoor, le dernier ajout majeur à la boîte à outils du groupe et qui a été utilisé pour cibler plusieurs réseaux en Asie de l’Est », explique Anh Ho, chercheur chez ESET, qui a découvert l’attaque. « La porte dérobée Nightdoor, utilisée dans l’attaque de la chaîne d’approvisionnement, est un ajout récent à la panoplie d’outils d’Evasive Panda. La première version de Nightdoor que nous avons pu trouver date de 2020, lorsqu’Evasive Panda l’a déployée sur la machine d’une cible de premier plan au Vietnam. Nous avons demandé que le compte Google associé à son jeton d’autorisation soit supprimé », ajoute M. Ho.

Avec une grande confiance, ESET attribue cette campagne au groupe APT Evasive Panda, en se basant sur les logiciels malveillants qui ont été utilisés : MgBot et Nightdoor. Au cours des deux dernières années, nous avons vu les deux portes dérobées déployées ensemble dans une attaque sans rapport avec une organisation religieuse à Taïwan, dans laquelle elles partageaient également le même serveur de commandement et de contrôle.