En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 

En ligne :

Rechercher

 

 

 

Actualité des entreprises

ESET Research découvre un nouveau groupe APT qui compromet des VPN

Publication: 24 janvier

Partagez sur
 
Un nouveau groupe APT aligné avec les intérêts chinois, PlushDaemon, spécialisé en cyberespionnage, vient d’être identifié par ESET Research. Le groupe opère principalement en détournant les mises à jour d’applications chinoises et a notamment compromis l’installeur d’un VPN sud-coréen...
 

Les équipes de recherche d’ESET ont mis au jour un nouveau groupe APT alignées avec la Chine, baptisée PlushDaemon. Cette découverte fait suite à une attaque de la chaîne d’approvisionnement ciblant un fournisseur de VPN sud-coréen. Ce groupe, actif depuis 2019, mène des opérations d’espionnage dans plusieurs pays : Chine continentale, Taiwan, Hong Kong, Corée du Sud, États-Unis et Nouvelle-Zélande. Sa technique de prédilection consiste à substituer des installeurs légitimes par des versions compromises intégrant son implant malveillant SlowStepper, une porte dérobée sophistiquée comprenant plus de 30 modules.

Facundo Muñoz, chercheur chez ESET, détaille la découverte : « En mai 2024, nous avons détecté du code malveillant dans un installateur NSIS Windows proposé sur le site officiel du VPN IPany. Les utilisateurs sud-coréens qui téléchargeaient ce logiciel recevaient simultanément l’application légitime et une porte dérobée. Nous avons immédiatement alerté l’éditeur du VPN de cette compromission, ce qui a permis le retrait de l’installateur malveillant. »

L’accès initial de PlushDaemon repose sur deux stratégies principales : l’interception des mises à jour d’applications chinoises légitimes pour rediriger le trafic vers des serveurs malveillants et l’exploitation de vulnérabilités présentes dans des serveurs Web légitimes.

SlowStepper, porte dérobée exclusive à PlushDaemon, se caractérise par deux éléments distinctifs : un protocole de commande et contrôle multi-étapes utilisant le DNS et une architecture modulaire permettant le déploiement de nombreux modules d’espionnage en Python.

Les capacités de collecte de données du malware sont étendues : extraction d’informations des navigateurs, capture d’images, numérisation de documents, surveillance des applications de messagerie (notamment WeChat et Telegram), enregistrement audio et vidéo et vol d’identifiants.

Muñoz conclut : « L’arsenal d’outils développé par PlushDaemon est impressionnant, tant par sa diversité que par ses multiples versions. Bien que nouvellement identifié, ce groupe APT représente une menace sérieuse qui mérite une surveillance étroite, compte tenu de ses capacités techniques avancées. »

Exécution de SlowStepper

https://www.eset.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: