Rapport ESET sur les pirates alignés avec la Chine, la Corée du Nord et l’Iran

ESET a publié son rapport sur les activités des groupes d’attaquants avancés (APT) sur la période d’octobre 2022 à la fin du mois de mars 2023.

Plus activités  malveillantes détectées par ESET

Au cours de cette période, plusieurs groupes de pirates alignés avec la Chine, tels que Ke3chang et Mustang Panda, se sont concentrés sur des organisations européennes. En Israël, le groupe OilRig aligné avec l’Iran a déployé une nouvelle porte dérobée personnalisée. Les groupes alignés avec la Corée du Nord ont continué de se concentrer sur des entités sud-coréennes ou liées à la Corée du Sud. Les groupes alignés avec la Russie ont été particulièrement actifs en Ukraine et dans les pays de l’UE, notamment Sandworm déployant des wipers.

Les activités malveillantes décrites dans le rapport d’ESET sont détectées par la technologie ESET. « Les produits ESET protègent les systèmes de nos clients contre les activités malveillantes décrites dans ce rapport. Les informations partagées ici sont principalement issues des données propriétaires de la télémétrie d’ESET, et ont été vérifiées par les chercheurs d’ESET, » déclare Jean-Ian Boutin, Director Threat Research chez ESET.

De nouvelles méthodes de diffusion de malwares

Le groupe Ke3chang a déployé une nouvelle variante de Ketrican, et Mustang Panda a utilisé deux nouvelles portes dérobées. MirrorFace a ciblé le Japon et mis en œuvre de nouvelles méthodes de diffusion de malwares, tandis que la campagne ChattyGoblin a compromis une société de jeux aux Philippines en ciblant ses agents d’assistance. Les groupes SideWinder et Donot Team alignés avec l’Inde ont continué de cibler des institutions gouvernementales en Asie du Sud, le premier en visant le secteur de l’éducation en Chine, et le second en continuant de développer son fameux framework yty, mais en déployant également l’outil commercial d’accès à distance Remcos. Toujours en Asie du Sud, ESET Research a détecté un grand nombre de tentatives d’hameçonnage sur le webmail Zimbra.

En plus de cibler les salariés d’une entreprise de défense en Pologne avec une fausse offre d’emploi émanant de Boeing, le groupe Lazarus affilié s’est également détourné de ses cibles habituelles pour se concentrer sur une entreprise de gestion de données en Inde, en utilisant un leurre semblant provenir d’Accenture. ESET a par ailleurs identifié un malware Linux utilisé dans l’une de ses campagnes. Les similitudes avec un malware récemment découvert corroborent la théorie selon laquelle le groupe est à l’origine de l’attaque contre la chaîne d’approvisionnement de 3CX.

Des emails d’hameçonnage

Les groupes alignés avec la Russie ont été particulièrement actifs en Ukraine et dans les pays de l’UE, dont Sandworm déployant des wipers (ESET a nommé SwiftSlicer, un wiper alors inconnu) et Gamaredon, Sednit et Dukes utilisant des emails d’hameçonnage, qui dans le cas de Dukes ont détourné l’outil utilisé par les Red Team, Brute Ratel. Enfin, ESET a détecté que la plateforme de messagerie Zimbra mentionnée précédemment a également été exploitée par Winter Vivern, un groupe particulièrement actif en Europe. Les chercheurs ont noté une baisse significative de l’activité de SturgeonPhisher, un groupe ciblant des fonctionnaires de pays d’Asie centrale avec des emails d’hameçonnage, ce qui nous amène à penser que le groupe est actuellement en train de se rééquiper.

Pour plus d’informations techniques, consultez le Rapport d’ESET sur les activités des groupes de pirates, sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Articles récents

Les plus lus

A lire également