Vous pensiez que vos appareils à entrefer étaient sûrs? Détrompez-vous.

Le logiciel malveillant USBCulprit nouvellement révélé est utilisé par un groupe connu sous le nom de Cycldek, Conimes ou Goblin Panda et est conçu pour compromettre les appareils à espace restreint via USB.

Cycldek est un groupe chinois APT qui cible depuis longtemps les pays d’Asie du Sud-Est pour voler des informations gouvernementales et des secrets d’État.

Le groupe APT s’est manifestement intéressé aux «grandes organisations et institutions gouvernementales au Vietnam», a déclaré un nouveau rapport sur le malware de Kaspersky.

Par exemple, en 2013, la société de sécurité CrowdStrike a rapporté comment le groupe piratait « les secteurs de la défense, de l’énergie et du gouvernement » dans les territoires du Sud-Est asiatique en conflit. À l’époque, le groupe avait exploité les exploits CVE-2012-0158 pour supprimer les logiciels malveillants via des documents Microsoft Word malveillants.

Dans les années qui ont suivi l’incident, le groupe a continué d’élargir son arsenal d’APT, notamment en utilisant des documents RTF (Rich Text Text Format) à contenu politique pour déployer des chevaux de Troie d’accès à distance (RAT).

Ce que Kaspersky a révélé cette semaine est un outil furtif conçu sur mesure appelé «  USBCulprit  », qui possède des capacités sophistiquées de recherche d’informations, en particulier lorsqu’il est utilisé sur un système à espace restreint.

Il pénètre dans le système via des documents RTF ou d’autres moyens inconnus, effectue une analyse approfondie du système de la victime et commence à extraire des documents, les transmet et se réplique sur un support amovible.

« Cet outil, que nous avons vu téléchargé par les implants RedCore dans plusieurs cas, est capable de numériser divers chemins dans les machines victimes, de collecter des documents avec des extensions particulières et de les transmettre aux lecteurs USB lorsqu’ils sont connectés au système. Il peut également copier sélectivement lui-même sur un lecteur amovible en présence d’un fichier particulier, ce qui suggère qu’il peut se propager latéralement en infectant les lecteurs désignés et en ouvrant l’exécutable manuellement, « …