Deux entreprises spécialisées en cybersécurité ont repéré des campagnes de piratage menées par des groupes basés en Chine. Ces derniers prétendent fournir des informations publiques sur la guerre en Europe de l’Est, pour tromper les victimes.

Une guerre attire toujours son lot d’opportunistes. Selon plusieurs sociétés spécialisées dans la cybersécurité, des groupes de hackers chinois profiteraient de l’état de panique causé par l’invasion de la Russie pour récupérer des informations sensibles.

L’entreprise slovaque ESET Research a repéré un malware (logiciel malveillant) propagé à travers une vaste campagne de phishing exploitant la guerre entre les deux pays et mené par le groupe chinois Muastang Panda.

Dans un rapport publié le 23 mars, les chercheurs d’ESET attribuent cette opération « avec une grande confiance » aux hackers de l’Empire du Milieu en se basant « sur la similitude des codes et de nombreux points communs dans les tactiques, techniques et procédures » avec de précédentes attaques.

Les pirates proposaient de télécharger des documents officiels

Les mails avaient pour objet des informations sur le conflit et ciblaient principalement des entités gouvernementales et des ONG. Les dossiers à télécharger étaient par exemple nommés « situation aux frontières de l’UE ».

Le fichier était en réalité un cheval de Troie qui inclut une porte dérobée pour le contrôle administratif de l’ordinateur. ESET Research a baptisé le malware « Hodur » car il serait similaire à un autre variant appelé « Thor » détecté par Palo Alto Networks en 2021. Les spécialistes s’inspirent de la mythologie nordique, Hodur étant le demi-frère aveugle du dieu Thor.

« D’autres leurres de phishing mentionnent une mise à jour des restrictions de voyage lié au COVID-19, une carte des aides régionales approuvée pour la Grèce et un règlement du Parlement et de la Commission européenne » a déclaré ESET Research. « Un des leurres est un vrai document, disponible sur le site du Conseil européen. Cela montre que le groupe à l’origine de cette campagne suit l’actualité et est capable d’y réagir avec succès et rapidité », indique Alexandre Côté Cyr, auteur du rapport.

Parmi les pays ciblés, on trouve la Grèce, Chypre, la Russie, la Mongolie, le Viet Nam, Myanmar, le Soudan du Sud et l’Afrique du Sud.

Figure-3.-First-page-of-the-decoy-document-for-the-REGULATION-OF-THE-EUROPEAN-PARLIAMENT-AND-OF-THE-COUNCIL.exe-downloader.-It’s-a-real-document-available-on-the-European-Council’s-website.
Le groupe de hacker propose de télécharger un document officiel disponible sur le site de l’Union Européenne pour tromper la victime. // Source : ESET Research

Une première attaque chinoise depuis le début de l’invasion

Scarab, un autre groupe de cyber pirates basés en Chine aurait lui aussi profité de la guerre et vise cette fois des cibles ukrainiennes. Leur activité a été repérée par la société Sentinal Labs qui a détaillé le mode opératoire dans un rapport publié ce 24 mars. L’analyse des métadonnées associées aux documents-leurres suggère que les auteurs utilisent le système d’exploitation Windows en langue chinoise.

Cette fois, les hackers ont imité la police nationale ukrainienne, partageant un mail destiné à préserver des preuves vidéos de crimes militaires russes. Une fois le fichier téléchargé, le malware pouvait implanter une porte dérobée dans le système. Dans un communiqué, la cyberpolice ukrainienne indique aussi avoir décelé ce groupe de hacker.

Sentinel Labs ajoute que c’est « le premier exemple public d’un acteur chinois ciblant l’Ukraine depuis le début de l’invasion. Bien qu’il y ait eu une augmentation marquée des attaques signalées contre l’Ukraine au cours de la semaine dernière, ces exactions et toutes les précédentes proviennent d’acteurs menaçants russes. » Actif depuis au moins 2012, ce groupe chinois a été repéré à plusieurs reprises, ciblant des individus aux États-Unis et en Russie.

La Chine ne fournit pas pour le moment de soutien logistique ou financier à la Russie. Les deux groupes cités ont été reliés à l’Empire du Milieu par de nombreux experts et pour l’instant personne ne peut prouver s’ils agissent indépendamment ou sous la tutelle de Pékin.