Une entreprise de cybersécurité américaine a relié une attaque contre des officiels russes à un groupe de pirates informatiques chinois. Ces hackers ont déjà été repérés à plusieurs reprises au cours des derniers mois.

C’est la troisième fois en deux mois que des chercheurs en sécurité repèrent un groupe de hackers chinois. Les experts de la société américaine Secureworks ont analysé une campagne d’hameçonnage ciblant des responsables russes. Dans un rapport publié ce 27 avril, ils indiquent avoir trouvé des preuves que les pirates sont basés en Chine. Les serveurs des hackers ont déjà été utilisés lors de précédentes attaques, attribuées au groupe Mustang Panda (également connu sous le nom de HoneyMyte et Bronze President).

Les attaquants utilisent des documents officiels publiés par l’Union européenne en guise de leurre. Le texte en question contient des détails sur les sanctions appliquées contre la Biélorussie. Ces fichiers sont envoyés au format exécutable Windows (.exe), mais se font passer pour des PDF. Ils portent le nom d’une ville russe, Blagoveshchensk, proche de la frontière avec la Chine. Secureworks suppose « que le nom du fichier a été choisi pour cibler des fonctionnaires ou des militaires connaissant bien la région ».

bronze-president-targets-russian-speakers-figure1
Ce n’est pas la première fois que des hackers de ce groupe utilisent des documents officiels de l’UE pour tromper les victimes. Source : Secureworks

« La guerre entre la Russie et l’Ukraine a incité de nombreux pays à déployer leurs compétences en cyber pour mieux comprendre les machinations politiques et les motivations » déclare la société de cybersécurité dans son rapport. « Ce désir de connaissance de la situation s’étend à la collecte d’informations sensibles auprès des amis ».

Ce groupe de hacker chinois, actif depuis au moins juillet 2018, a pour habitude de mener des opérations d’espionnage en exploitant des documents personnalisés et disponibles publiquement pour compromettre et récupérer des informations sur des cibles d’intérêt.

PlugX, leur malware favori, est un cheval de Troie d’accès à distance qui profite d’une porte dérobée dans le système Windows. L’attaquant peut espionner sans que la victime s’en rende compte et exécuter une variété de tâches à son insu.

Les dernières découvertes de Secureworks peuvent être reliées à deux autres attaques, repérées par d’autres sociétés, Proofpoint et ESET, le mois dernier. À chaque fois, des variants de PlugX étaient employés contre des organes étatiques, ce qui conforte la théorie selon laquelle la Chine mène une large campagne d’espionnage.