Les cybergroupes parrainés par des États se tournent vers les outils open-source.
L’équipe SophosX-Ops a découvert le nouveau keylogger « Tattletale ».
Sophos, l’un des premiers éditeurs mondiaux de solutions de sécurité innovantes conçues pour neutraliser les cyberattaques,annonce ce jour la publication d’une nouvelle étude intitulée «Crimson Palace: New Tools, Tactics, Targets» (Opération Crimson Palace : nouveaux outils, tactiques, cibles), qui présente par le menu les tout derniers développements d’une campagne de cyberespionnage chinoise menée pendant près de deux ans en Asie du Sud-Est. Les membres de l’équipe transversale SophosX-Ops ont communiqué pour la première fois au mois de juin sur ce qu’ils ont appelé l’«opération Crimson Palace» et exposé en détail leur découverte de trois pôles distincts pilotés par l’état chinois — le cluster Alpha, le cluster Bravo et le cluster Charlie — à l’intérieur d’une organisation de premier plan. Après une trêve de courte durée en août 2023, l’équipe SophosX-Ops a constaté une reprise de l’activité des clusters Bravo et Charlie au sein de l’organisation initialement ciblée, mais également de plusieurs autres organisations de la région.
En enquêtant sur ce regain d’activité, SophosX-Ops a découvert un nouveau «keylogger» que les chasseurs de menaces ont baptisé «Tattletale»; cet enregistreur est capable de se faire passer pour des utilisateurs connectés au système et de recueillir des informations relatives à la gestion des mots de passe, aux paramètres de sécurité, aux mots de passe mis en cache, aux informations de navigation et aux données de stockage. Dans son rapport, SophosX-Ops note également que contrairement à la première vague de l’opération, le Cluster Charlie utilise de plus en plus des outils open-source au lieu de déployer les malwares personnalisés qu’ils avaient développés lors de la première vague d’activité.
«Nous jouons une partie d’échecs permanente avec ces adversaires. Au cours des premières phases de l’opération, le cluster Charlie a déployé divers outils et malwares sur mesure», a déclaré Paul Jaramillo, director, threat hunting and threat intelligence de Sophos. «Cependant, nous sommes parvenus à «brûler» une grande partie de leur infrastructure précédente en bloquant leurs outils de commandement et de contrôle (C2) et en les forçant à changer leur fusil d’épaule. C’est une bonne chose, mais l’adoption d’outils open-source montre à quel point ces groupes de cyberattaquants sont capables de s’adapter rapidement et de rester opérationnels sur la durée. Il semblerait en outre que nous assistions à une tendance émergente parmi les groupes parrainés par l’État chinois. À l’heure où la communauté de la cybersécurité met tout en œuvre pour protéger ses systèmes les plus sensibles contre ces agresseurs, il est important de partager les informations relatives à ce changement de cap.»
Le cluster Charlie, qui partage des tactiques, techniques et procédures (TTP) avec le groupe chinois EarthLongzhi, a été initialement actif de mars à août 2023 à l’intérieur d’une organisation gouvernementale de haut niveau en Asie du Sud-Est. Après avoir été mis en sommeil pendant plusieurs semaines, le cluster a été réactivé en septembre 2023 pour demeurer actif au moins jusqu’en mai 2024. Au cours de cette deuxième phase de la campagne, le cluster Charlie s’est efforcé de pénétrer plus profondément dans le réseau, échappant aux outils de détection et de réponse au niveau des systèmes endpoint (EDR) et recueillant davantage de renseignements. Outre l’adoption d’outils open-source, le cluster Charlie a également commencé à appliquer des tactiques initialement déployées par les clusters Alpha et Bravo, ce qui laisse entendre que les trois pôles sont pilotés par le même groupe. L’équipe SophosX-Ops a suivi les activités du cluster Charlie dans de nombreuses autres organisations d’Asie du Sud-Est.
L’activité du cluster Bravo, qui partage des TTP avec le groupe de menaces chinois Unfading Sea Haze, s’est initialement limitée au réseau ciblé pendant trois semaines en mars 2023. Le cluster a refait surface en janvier 2024, ciblant cette fois au moins 11 autres organisations et agences de la région.
«Nous constatons non seulement que les trois clusters «Crimson Palace» peaufinent et coordonnent leurs tactiques, mais également qu’ils étendent leurs opérations en tentant d’infiltrer d’autres cibles en Asie du Sud-Est. Compte tenu de la fréquence à laquelle les groupes parrainés par l’État chinois partagent leurs infrastructures et leurs outils, et sachant que l’activité des clusters Bravo et Charlie s’étend au-delà de leur cible initiale, il est probable que cette campagne va continuer d’évoluer, potentiellement dans de nouveaux endroits. C’est pourquoi nous suivons ses activités de près», a ajouté Paul Jaramillo.
Pour en savoir plus, lire l’étude «Crimson Palace: New Tools, Tactics, Targets» sur le site Sophos.com. Pour plus de détails sur les services de chasse aux menaces et les autres services proposés par Sophos pour contrer les cyberattaques, rendez-vous sur la page consacrée au produit Managed Detection and Response (MDR).
Pour une étude approfondie de la chasse aux menaces menée dans le cadre de cette campagne de cyberespionnage de près de deux ans, inscrivez-vous au prochain webinaire «Intrigue of the hunt: Operation Crimson Palace : Unveiling a Multi-Headed State-Sponsored Campaign» qui aura lieu le 24 septembre à 14heures ET :https://events.sophos.com/operation-crimson-palace/.