Un groupe de cyberespionnage censé être parrainé par le gouvernement chinois a été observé en train de cibler des organisations militaires en Asie du Sud-Est dans des attaques impliquant des logiciels malveillants auparavant non documentés, a rapporté mercredi Bitdefender.

Liée à l’Armée populaire de libération du peuple chinois (APL) il y a plus de cinq ans, la menace persistante avancée (APT) a été révélée l’année dernière pour avoir mené une campagne furtive de cinq ans contre des cibles en Australie, en Indonésie, aux Philippines, au Vietnam, en Thaïlande, Myanmar et Brunei. Le groupe est connu pour se concentrer sur les organisations gouvernementales et militaires.

Bien que les rapports sur l’activité de Naikon n’aient jusqu’à présent été publiés qu’en 2015 et 2020, l’APT persistant est discrètement opérationnel depuis au moins une décennie, apportant des modifications à son infrastructure et à son ensemble d’outils pour s’assurer qu’il peut rester sous le radar.

L’année dernière, après que son activité ait été exposée, Naikon a fait un geste similaire: il est passé à une nouvelle porte dérobée, bien qu’il ait continué à utiliser des logiciels malveillants précédemment connus pour les premières étapes de l’attaque. Le groupe a également abusé de logiciels légitimes à des fins néfastes.

La dernière campagne s’est déroulée entre juin 2019 et mars 2021, et l’une des nouvelles portes dérobées, baptisée RainyDay, a été utilisée pour la première fois lors d’attaques en septembre 2020, selon Bitdefender. Pour ne pas être détecté, l’APT imiterait les logiciels légitimes s’exécutant sur les machines infectées. Le but des attaques reste l’espionnage et l’exfiltration de données, et le groupe continue de se concentrer sur les cibles de l’Asie du Sud-Est.

La porte dérobée RainyDay permet aux attaquants d’effectuer une reconnaissance sur les machines infectées, de déployer des proxys inverses, d’installer des scanners, d’exécuter des outils de vidage de mot de passe, de se déplacer latéralement sur le réseau de la victime et d’obtenir la persistance.

Naikon a toujours utilisé le chargement latéral de DLL pour l’exécution de RainyDay, «et il y avait toujours un exécutable vulnérable avec un fichier DLL et le fichier rdmin.src …