Les utilisateurs d’une ONG internationale en Chine continentale ont été ciblés par des malwares diffusés via des mises à jour de logiciels développés par des entreprises chinoises.
Nous avons attribué cette activité avec quasi-certitude au groupe de pirates sinophones Evasive Panda.
La porte dérobée MgBot est utilisé à des fins de cyberespionnage.
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une campagne menée par le groupe de pirates connu sous le nom d’Evasive Panda, dans laquelle les canaux de mise à jour d’applications légitimes chinoises ont été détournés pour délivrer également le programme d’installation du malware MgBot, la porte dérobée de cyberespionnage phare d’Evasive Panda. Des utilisateurs chinois dans les provinces de Gansu, Guangdong et Jiangsu étaient la cible de cette activité malveillante, dont la télémétrie d’ESET montre qu’elle a débuté en 2020. La majorité des victimes sont membres d’une organisation non gouvernementale (ONG) internationale.
En janvier 2022, ESET Research a découvert que lors de mises à jour d’une application chinoise légitime, celle-ci recevait également la porte dérobée MgBot d’Evasive Panda. Ces mêmes actions malveillantes s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.
« Evasive Panda utilise une porte dérobée personnalisée connue sous le nom de MgBot qui a peu évolué depuis sa découverte en 2014. À notre connaissance, elle n’a été utilisée par aucun autre groupe. Par conséquent, nous avons attribué cette activité à Evasive Panda avec quasi-certitude, » déclare Facundo Muñoz, le chercheur d’ESET qui a découvert cette dernière campagne. « Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’application légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes, » explique M. Muñoz.
Lorsque les chercheurs d’ESET ont analysé plusieurs méthodes pouvant expliquer comment les attaquants ont réussi à diffuser des malwares via des mises à jour légitimes, deux scénarios se sont distingués : des compromissions de la chaîne d’approvisionnement et des attaques dites « adversary-in-the-middle » (AitM).
« Étant donné la nature ciblée des attaques, nous supposons que les pirates ont dû compromettre les serveurs de mise à jour de QQ pour introduire un mécanisme permettant d’identifier les utilisateurs ciblés afin de diffuser le malware, filtrer les utilisateurs non ciblés et leur fournir des mises à jour légitimes. Nous avons enregistré en effet des cas où des mises à jour légitimes ont été téléchargées via ces mêmes protocoles détournés, » explique M. Muñoz. « Par ailleurs, les approches d’interception de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles et s’ils avaient pu accéder à l’infrastructure des fournisseurs d’accès Internet. »
L’architecture modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur la machine compromise. La porte dérobée est capable d’enregistrer les frappes au clavier, voler des fichiers, des identifiants et des contenus à partir des applications de messagerie QQ et WeChat de Tencent, et capturer des flux audio et du texte copié dans le presse-papiers.
Evasive Panda (également connu sous les noms de BRONZE HIGHLAND et Daggerfly) est un groupe de pirates sinophones actif depuis au moins 2012. ESET Research a observé que le groupe menait des opérations de cyberespionnage contre des personnes en Chine continentale, à Hong Kong, à Macao et au Nigéria. L’une des victimes de cette campagne se trouvait au Nigeria et a été contaminée via le logiciel chinois Mail Master de NetEase.