Un groupe de hackers avancés qui mène des campagnes de cyberespionnage depuis au moins 2010 a opéré furtivement au cours des cinq dernières années. Ils fournissent une nouvelle porte dérobée appelée Aria-body et utilisent l’infrastructure des victimes pour mener des attaques contre d’autres cibles.
Plusieurs variantes du malware ont été découvertes et l’une d’elles a récemment été remise au gouvernement australien via un e-mail malveillant.
Une vue rare
Derrière cette action se trouve Naikon APT (menace persistante avancée), un adversaire de langue chinoise qui a été publiquement documenté pour la première fois en 2015, bien que certains de ses outils, comme Rarstone, aient été détectés et analysés auparavant.
Dans un rapport publié en septembre 2015, Threat Connect and Defence Group a associé cet adversaire à l’unité militaire chinoise 78020 et a dénoncé l’un de ses membres.
Naikon a disparu des projecteurs publics après avoir été exposé, mais les chercheurs en sécurité à Check Point ont constaté que le groupe continuait à opérer en utilisant des tactiques, des techniques et des procédures qui les maintenaient sous le radar.
Son domaine d’intérêt reste la région Asie-Pacifique (APAC). Les cibles comprennent les ministères des affaires étrangères, des sciences et de la technologie en Australie, en Indonésie, aux Philippines, au Vietnam, en Thaïlande, au Myanmar et au Brunei. Les entreprises publiques figurent également sur la liste.
Lotem Finkelsteen de Check Point dit que «Naikon est un groupe APT chinois très motivé et sophistiqué» qui a passé les cinq dernières années à perfectionner ses compétences et à créer de nouveaux logiciels malveillants comme la porte dérobée Aria-body.
Le groupe a accéléré ses attaques en 2019 et au premier trimestre de 2020, en utilisant des exploits attribués à d’autres groupes APT et au serveur de leurs victimes comme serveurs de commande et de contrôle (C2).
Tactiques, techniques et procédures de Naikon
Dans une étude publiée aujourd’hui, Check Point indique qu’une variante de la porte dérobée Aria livrée au gouvernement australien est venue par e-mail d’une ambassade dans la région APAC. L’expéditeur avait probablement été piraté pour exploiter la relation avec la cible.
Le message contenait un …
