Un logiciel malveillant récemment identifié est en cours de distribution intégré dans un logiciel de paiement des impôts que certaines entreprises opérant en Chine doivent installer.

Surnommé GoldenSpy, le malware a été observé dans le cadre d’une campagne qui aurait commencé en avril 2020, mais certains des échantillons identifiés suggèrent que la menace existe depuis au moins décembre 2016.

L’une des organisations compromises, un fournisseur mondial de technologies qui exerce des activités gouvernementales aux États-Unis, en Australie et au Royaume-Uni, et qui a récemment ouvert des bureaux en Chine, a été infectée après avoir installé «Intelligent Tax», un logiciel du Golden Tax Department d’Aisino Corporation, dont une banque locale avait besoin pour payer les impôts locaux.

Bien qu’il ait fonctionné comme annoncé, le logiciel s’est avéré installer une porte dérobée cachée pour fournir aux opérateurs distants la possibilité d’exécuter des commandes Windows ou de télécharger et d’exécuter des fichiers.

«Fondamentalement, il s’agissait d’une porte grande ouverte sur le réseau avec des privilèges de niveau SYSTÈME et connectée à un serveur de commande et de contrôle complètement distinct de l’infrastructure réseau du logiciel fiscal», explique Brian Hussey, vice-président de Cyber ​​Threat Detection & Response de Trustwave.

Il a été constaté que le logiciel malveillant était signé numériquement par une société appelée Chenkuo Network Technology et fonctionnait de manière totalement indépendante du logiciel fiscal. Ainsi, même si le logiciel Intelligent Tax est désinstallé, GoldenSpy reste actif sur le système.

Sur les machines compromises, GoldenSpy est téléchargé et exécuté deux heures après l’installation du logiciel de taxe. Le malware a été observé en installant deux versions identiques de lui-même, en tant que services de démarrage automatique persistants, et utilise un exeprotecteur module pour assurer la persistance.

Le malware se connecte à son infrastructure à ningzhidata[.]com, un domaine hébergeant également d’autres variantes de GoldenSpy, et randomise les temps de balise après les trois premiers …