Le groupe de piratage APT32 soutenu par le Vietnam a coordonné plusieurs attaques de logiciels espions visant des défenseurs des droits humains vietnamiens (DDH) entre février 2018 et novembre 2020.

Les pirates de l’État ont également pointé leurs attaques contre une organisation de défense des droits humains à but non lucratif (NPO) du Vietnam, comme l’a révélé le Security Lab d’Amnesty International (rapport complet ici).

Les logiciels espions utilisés par les pirates APT32 leur permettaient de lire et d’écrire des documents sur des systèmes compromis, de lancer des outils et des programmes malveillants et de surveiller les activités de leurs victimes.

« Ces dernières attaques d’Ocean Lotus mettent en évidence la répression que les militants vietnamiens doivent affronter dans leur pays et à l’étranger pour avoir défendu les droits humains », a déclaré la chercheuse d’Amnesty Tech Likhita Banerji. « Cette surveillance illégale viole le droit à la vie privée et étouffe la liberté d’expression. »

« Le gouvernement vietnamien doit mener une enquête indépendante. Tout refus de le faire ne fera qu’augmenter les soupçons selon lesquels le gouvernement est complice des attaques d’Ocean Lotus. »

Victimes infectées par des logiciels espions via des e-mails de phishing

Comme l’a dit Amnesty International, ces attaques font partie d’une campagne en cours axée sur le suivi et l’espionnage des DDH vietnamiens, des blogueurs et des organisations à but non lucratif (à l’intérieur et à l’extérieur des frontières du Vietnam) couvrant les 15 dernières années.

La «campagne coordonnée contre les logiciels espions» de l’APT32 a ciblé le militant pro-démocratie Bui Thanh Hieu, l’ONG vietnamienne Overseas Initiative for Conscience Empowerment (VOICE) et un blogueur vietnamien non divulgué.

« VOICE et les deux blogueurs ont tous reçu des e-mails contenant des logiciels espions entre février 2018 et novembre 2020 », a ajouté Amnesty International, la charge utile finale étant installée sur les ordinateurs Windows des victimes à l’aide du téléchargeur Kerrdown d’APT32.

Les attaquants ont téléchargé et déployé des balises Cobalt Strike pour obtenir un accès à distance permanent aux systèmes compromis.

Dans le cas des victimes qui utilisaient des Mac, le …