Les chercheurs d'ESET ont découvert une campagne de cyberespionnage qui, depuis au moins septembre 2023, cible des Tibétains. La campagne menée par le groupe APT Evasive Panda, aligné sur la Chine, s'est appuyée sur le festival Monlam, un rassemblement religieux international. Les pays visés sont l’Inde, Taïwan, Hong Kong, l’Australie et les États-Unis. Si le visiteur est identifié de l’un de ces pays, la technique du point d'eau (également connu sous le nom de compromission stratégique du Web) est activée. L’objectif est de distribuer des programmes d'installation trojanisés de logiciels de traduction en langue tibétaine. Ils contiennent des téléchargeurs malveillants pour Windows et macOS (MgBot) qui compromettent les visiteurs du site Web. ESET a également découvert l’utilisation d’une porte dérobée qui n'avait pas précédemment été documentée publiquement ; nous l’avons nommée « Nightdoor ».
ESET a découvert l'opération de cyberespionnage en janvier 2024. Le site Web compromis utilisé comme point d'eau (l'attaquant infecte un site Web que la victime utilise probablement ou régulièrement) appartient à Kagyu International Monlam Trust, une organisation basée en Inde qui promeut le bouddhisme tibétain à l'échelle internationale. L'attaque pourrait avoir eu pour but de capitaliser sur l'intérêt international pour le festival Kagyu Monlam qui se tient chaque année en janvier dans la ville de Bodhgaya, en Inde. Le réseau du Georgia Institute of Technology (également connu sous le nom de Georgia Tech) aux États-Unis fait partie des entités identifiées dans les plages d'adresses IP ciblées. Dans le passé, l'université mettait en garde contre des actions d'influence du Parti communiste chinois sur les établissements d'enseignement aux États-Unis.
- ESET Research a découvert une campagne de cyberespionnage qui abuse du festival Monlam, un rassemblement religieux, pour cibler des Tibétains dans plusieurs pays.
- ESET attribue cette campagne avec un degré de confiance élevé au groupe Evasive Panda, aligné sur les intérêts de la Chine (un groupe qualifié d’Advanced Persistent Threat (APT))
- Les attaquants ont compromis le site Web de l'organisateur du festival annuel qui se déroule en Inde. Ils ont ajouté du code malveillant pour créer une attaque de point d'eau ciblant. Celle-ci vise des utilisateurs qui se connectent à partir de réseaux spécifiques.
- ESET a également découvert que la chaîne d'approvisionnement d'un développeur de logiciels avait été compromise et que des programmes d'installation trojanisés pour Windows et macOS étaient distribués aux visiteurs
- Les attaquants ont déployé un certain nombre de téléchargeurs malveillants et de portes dérobées, y compris une porte dérobée non documentée publiquement pour Windows « Nightdoor »
- Les utilisateurs ciblés étaient situés en Inde, à Taïwan, à Hong Kong, en Australie et aux États-Unis (y compris à Georgia Tech)
Graphique montrant la géolocalisation des pays
Vers septembre 2023, les attaquants ont compromis le site Web d'une société de développement de logiciels basée en Inde qui produit des logiciels de traduction en tibétain. Les attaquants y ont placé plusieurs applications trojanisées qui déploient un téléchargeur malveillant pour Windows ou macOS.
Par ailleurs, les attaquants ont également abusé du même site Web et d'un site d'information tibétain appelé Tibetpost pour héberger les charges utiles obtenues par les téléchargements malveillants, y compris deux portes dérobées complètes pour Windows et un nombre inconnu de charges utiles pour macOS.
« Les attaquants ont déployé plusieurs téléchargeurs, droppers et portes dérobées, dont MgBot qui est utilisé exclusivement par Evasive Panda et Nightdoor, le dernier ajout majeur à la boîte à outils du groupe et qui a été utilisé pour cibler plusieurs réseaux en Asie de l'Est », explique Anh Ho, Chercheur chez ESET, qui a découvert l'attaque. « La porte dérobée Nightdoor, utilisée dans l'attaque de la chaîne d'approvisionnement, est un ajout récent à la panoplie d'outils d'Evasive Panda. La première version de Nightdoor que nous avons pu trouver date de 2020, lorsqu'Evasive Panda l'a déployée sur la machine d'une cible de premier plan au Vietnam. Nous avons demandé que le compte Google associé à son jeton d'autorisation soit supprimé », ajoute M. Ho.
Avec une grande confiance, ESET attribue cette campagne au groupe APT Evasive Panda, en se basant sur les logiciels malveillants qui ont été utilisés : MgBot et Nightdoor. Au cours des deux dernières années, nous avons vu les deux portes dérobées déployées ensemble dans une attaque sans rapport avec une organisation religieuse à Taïwan, dans laquelle elles partageaient également le même serveur de commandement et de contrôle. Evasive Panda (également connu sous le nom de BRONZE HIGHLAND ou Daggerfly) est un groupe APT sinophone et aligné sur la Chine, actif depuis au moins 2012. ESET Research a observé le groupe mener des activités de cyberespionnage contre des individus en Chine continentale, à Hong Kong, à Macao et au Nigeria. Des entités gouvernementales ont été ciblées en Chine, à Macao et dans des pays d'Asie du Sud-Est et de l'Est, en particulier au Myanmar, aux Philippines, à Taïwan et au Vietnam. D'autres organisations en Chine et à Hong Kong ont également été ciblées. Selon des rapports publics, le groupe a également ciblé des entités inconnues à Hong Kong, en Inde et en Malaisie.
Le groupe utilise son propre framework de logiciels malveillants personnalisé avec une architecture modulaire qui permet à sa porte dérobée modulaire, connue sous le nom de MgBot, pour espionner ses victimes et améliorer ses capacités. Depuis 2020, ESET a également observé qu'Evasive Panda a la capacité de fournir ses portes dérobées via des attaques d’homme du milieu (MITM - man-in-the-middle), détournant les mises à jour de logiciels légitimes.
