Les chercheurs en cybersécurité Proofpoint viennent de publier de nouvelles informations révélant l’émergence de nouvelles menaces cyber, diligentées par un groupe cybercriminel chinois en lien avec le gouvernement de Pékin. Dans un contexte d’escalade de la guerre en Ukraine, le groupe serait en passe d’intensifier ses attaques contre les instances diplomatiques en Europe, et ce par le biais d’emails malintentionnés contenant des logiciels malveillants.
- Le groupe cybercriminel en question, TA416 (aussi appelé RedDelta) est connu pour être affilié au gouvernement chinois et dirige ses attaques vers l’Europe depuis déjà plusieurs années. Proofpoint surveille cet acteur depuis 2020 et a pu constater que le rythme de ses activités s’est largement intensifié depuis que les forces armées russes se sont amassées à la frontière avec l’Ukraine.
- Plus récemment, TA416 a commencé à utiliser l’adresse mail compromise d’un diplomate, ressortissant d’un pays Européen membre de l’OTAN, pour s’attaquer aux services diplomatiques d’un autre pays. L’individu visé aurait travaillé pour le bureau dédié aux migrants et aux réfugiés.
- Les campagnes menées par TA416 utilisent des pixels espions (une image d’un pixel sur un pixel) pour identifier ses cibles avant de les infecter de logiciels malveillants. Cette manipulation permet à l’attaquant de viser un compte actif dont la victime serait encline à ouvrir le mail, lui-même créé selon des techniques d’ingénierie sociale. Cette stratégie démontre que TA416 se montre bien plus pointilleux quant à la sélection de ses victimes, ainsi qu’une tentative de ne pas être découvert et d’empêcher que leurs techniques et outils d’attaques soient exposés au grand public.
- Ces campagnes incluent plusieurs liens malintentionnés ainsi que de faux documents liés aux mouvements de réfugiés à la frontière Ukrainienne. L’objectif est de contaminer le système de l’utilisateur à l’aide d’un logiciel malveillant appelé PlugX, un cheval de Troie contrôlé à distance (Remote Access Trojan) qui, une fois installé, peut être utilisé pour prendre le control total de la machine de sa victime.
Les chercheurs Proofpoint déclarent :
« l’utilisation de pixels espions pour faire de la reconnaissance suggère que TA416 se montre bien plus pointilleux quant à la sélection des victimes qu’il souhaite infecter par logiciel malveillant à charge utile. Par le passé, ce groupe s’attachait principalement à envoyer des pixels espions ainsi que des logiciels malveillants par URL pour en confirmer la réception. En 2022, le groupe s’est mis à identifier et sélectionner certains utilisateurs pour ensuite leur envoyer des logiciels malveillants par URL. Cela démontre probablement une tentative de TA416 de ne pas être découvert et d’empêcher que leurs techniques et outils d’attaques soient exposés au grand public. En limitant leurs attaques à un petit groupe d’utilisateurs qu’ils savent actifs et enclin à ouvrir leurs mails, TA416 a plus de chance de réussite qu’en lançant une large campagne de phishing. Ils peuvent dès lors accroître la probabilité d’infiltrer les systèmes de ces utilisateurs par le biais de logiciels malveillants à charge utile. »
Pour connaître de plus amples détails à propos de ces recherches, consulter : https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european