Skip to main content

PARIS : ESET Research découvre une opération de cyberespi…

Print Friendly, PDF & Email
Floriane Dumont
13 Mar 2024

Partager :

PARIS : ESET Research découvre une opération de cyberespionnage qui cible des Tibétains

Les chercheurs d’ESET ont découvert une campagne de cyberespionnage qui, depuis au moins septembre 2023, cible des Tibétains.

La campagne menée par le groupe APT Evasive Panda, aligné sur la Chine, s’est appuyée sur le festival Monlam, un rassemblement religieux international. Les pays visés sont l’Inde, Taïwan, Hong Kong, l’Australie et les États-Unis. Si le visiteur est identifié de l’un de ces pays, la technique du point d’eau (également connu sous le nom de compromission stratégique du Web) est activée. L’objectif est de distribuer des programmes d’installation trojanisés de logiciels de traduction en langue tibétaine. Ils contiennent des téléchargeurs malveillants pour Windows et macOS (MgBot) qui compromettent les visiteurs du site Web. ESET a également découvert l’utilisation d’une porte dérobée qui n’avait pas précédemment été documentée publiquement, que les chercheurs ont nommée « Nightdoor ».

ESET a découvert l’opération de cyberespionnage en janvier 2024. Le site Web compromis utilisé comme point d’eau (l’attaquant infecte un site Web que la victime utilise probablement ou régulièrement) appartient à Kagyu International Monlam Trust, une organisation basée en Inde qui promeut le bouddhisme tibétain à l’échelle internationale. L’attaque pourrait avoir eu pour but de capitaliser sur l’intérêt international pour le festival Kagyu Monlam qui se tient chaque année en janvier dans la ville de Bodhgaya, en Inde. Le réseau du Georgia Institute of Technology (également connu sous le nom de Georgia Tech) aux États-Unis fait partie des entités identifiées dans les plages d’adresses IP ciblées. Dans le passé, l’université mettait en garde contre des actions d’influence du Parti communiste chinois sur les établissements d’enseignement aux États-Unis.

Vers septembre 2023, les attaquants ont compromis le site Web d’une société de développement de logiciels basée en Inde qui produit des logiciels de traduction en tibétain. Les attaquants y ont placé plusieurs applications trojanisées qui déploient un téléchargeur malveillant pour Windows ou macOS.

Par ailleurs, les attaquants ont également abusé du même site Web et d’un site d’information tibétain appelé Tibetpost pour héberger les charges utiles obtenues par les téléchargements malveillants, y compris deux portes dérobées complètes pour Windows et un nombre inconnu de charges utiles pour macOS.

« Les attaquants ont déployé plusieurs téléchargeurs, droppers et portes dérobées, dont MgBot qui est utilisé exclusivement par Evasive Panda et Nightdoor, le dernier ajout majeur à la boîte à outils du groupe et qui a été utilisé pour cibler plusieurs réseaux en Asie de l’Est », explique Anh Ho, chercheur chez ESET, qui a découvert l’attaque. « La porte dérobée Nightdoor, utilisée dans l’attaque de la chaîne d’approvisionnement, est un ajout récent à la panoplie d’outils d’Evasive Panda. La première version de Nightdoor que nous avons pu trouver date de 2020, lorsqu’Evasive Panda l’a déployée sur la machine d’une cible de premier plan au Vietnam. Nous avons demandé que le compte Google associé à son jeton d’autorisation soit supprimé », ajoute M. Ho.

Avec une grande confiance, ESET attribue cette campagne au groupe APT Evasive Panda, en se basant sur les logiciels malveillants qui ont été utilisés : MgBot et Nightdoor. Au cours des deux dernières années, nous avons vu les deux portes dérobées déployées ensemble dans une attaque sans rapport avec une organisation religieuse à Taïwan, dans laquelle elles partageaient également le même serveur de commandement et de contrôle.