Des chercheurs de la société de cybersécurité ESET affirment avoir découvert une campagne d’espionnage qui a ciblé des joueurs en ligne en Asie via une société de logiciels compromis.

Appelée Operation NightScout, la campagne impliquait apparemment une faille chez BigNox, la société derrière NoxPlayer, un émulateur Android qui permet aux utilisateurs d’exécuter des applications mobiles sur PC ou Mac, et qui prétend avoir plus de 150 millions d’utilisateurs dans le monde, la plupart d’entre eux situés dans Asie.

Après avoir compromis le mécanisme de mise à jour de NoxPlayer, l’acteur de la menace derrière l’attaque a poussé une série de mises à jour malveillantes personnalisées qui ont abouti à l’installation de trois familles de logiciels malveillants différentes sur les appareils d’une poignée de victimes sélectionnées.

Selon les chercheurs en sécurité d’ESET, la nature hautement ciblée de l’attaque suggère que le but de cette campagne est la surveillance et non le gain financier: seuls cinq des 100 000 utilisateurs d’ESET exécutant NoxPlayer sur leurs machines ont reçu une mise à jour malveillante.

Les mises à jour ont été fournies aux victimes à Hong Kong, au Sri Lanka et à Taïwan, mais ESET n’a pas été en mesure de trouver des connexions entre les victimes, mis à part l’utilisation du même émulateur de jeu.

En plus de compromettre l’infrastructure BigNox pour héberger des logiciels malveillants, l’acteur de la menace pourrait avoir compromis l’infrastructure API HTTP de l’entreprise, explique ESET, expliquant que des charges utiles supplémentaires ont été observées téléchargées par le programme de mise à jour BigNox à partir des serveurs de l’attaquant.

«Cela suggère que le champ URL, fourni dans la réponse de l’API BigNox, a été falsifié par les attaquants», notent les chercheurs.

ESET dit avoir informé BigNox de ses découvertes, mais la société a apparemment nié avoir été violée.

Les mises à jour malveillantes ont été envoyées aux victimes en septembre 2020, avec des charges utiles supplémentaires téléchargées à partir d’une infrastructure contrôlée par l’attaquant à la fin de 2020 et au début de 2021, très probablement via le mécanisme d’API BigNox.