Un rapport d’analyse de logiciels malveillants publié lundi par le département américain de la Défense, la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI attribue officiellement un malware nommé Taidoor à des acteurs de la menace parrainés par le gouvernement chinois.

Taidoor, également suivi par certains sous le nom de Taurus RAT, existe depuis au moins 2008. En 2012, Trend Micro a signalé que le logiciel malveillant avait été utilisé dans des attaques ciblées contre des organisations gouvernementales à Taiwan. Taidoor était utilisé à l’époque par les acteurs de la menace pour faire fonctionner un shell sur des appareils compromis, et télécharger et télécharger des fichiers.

En 2013, FireEye a publié un rapport sur l’utilisation de Taidoor dans des campagnes de cyberespionnage destinées aux agences gouvernementales, aux groupes de réflexion et aux entreprises, en particulier celles qui s’intéressent à Taiwan.

Alors qu’il y avait des preuves à l’époque suggérant que la Chine était derrière les attaques impliquant Taidoor, le gouvernement américain a maintenant officiellement déclaré que le malware, qu’il décrit comme un cheval de Troie d’accès à distance (RAT), est «utilisé par les cyberacteurs du gouvernement chinois. « 

«Le FBI a une grande confiance dans le fait que les acteurs du gouvernement chinois utilisent des variantes de logiciels malveillants en conjonction avec des serveurs proxy pour maintenir une présence sur les réseaux victimes et poursuivre l’exploitation du réseau», lit-on dans le rapport.

Le United States Cyber ​​Command a téléchargé quatre échantillons Taidoor sur le service VirusTotal de Google. Alors que deux des échantillons sont actuellement détectés par plus de 30 des 59 moteurs anti-malware de VirusTotal, deux d’entre eux ne sont détectés que par 9 moteurs.

Le rapport publié par les agences américaines comprend des détails techniques sur le fonctionnement du malware, ainsi que des informations qui peuvent être utilisées par les organisations pour identifier et bloquer les attaques impliquant Taidoor.

USCYBERCOM a commencé à partager des échantillons de logiciels malveillants avec l’industrie de la cybersécurité en novembre 2018. La majorité des échantillons qu’elle a partagés à ce jour ont été liés à la Corée du Nord …

Voir la source de cette publication