Depuis des années, un acteur de la menace lié à la Chine, Cycldek, a exfiltré des données de systèmes restreints à l’aide d’une famille de logiciels malveillants USB personnalisés non signalés, rapporte Kaspersky.

Également appelé Goblin Panda and Conimes, le groupe de piratage a ciblé activement les gouvernements d’Asie du Sud-Est au cours des deux dernières années, ses activités étant séparées en deux groupes principaux qui sont sous la supervision d’une seule entité.

Actif depuis au moins 2013, le groupe est connu pour sa concentration sur le Vietnam, un schéma d’activité qui n’a pas changé au fil du temps. Auparavant, l’acteur de la menace était observé en utilisant des logiciels malveillants tels que PlugX, qui était généralement utilisé par d’autres acteurs parlant chinois également, et NewCore RAT.

Au cours des deux dernières années, le groupe est resté très actif en Asie du Sud-Est et a continué d’utiliser NewCore RAT dans les attaques, mais est également passé à d’autres implants non déclarés et à divers outils de base.

La plupart des attaques comportaient un document RTF à thème politique servi aux victimes dans des e-mails de phishing et conçu pour exploiter les vulnérabilités connues de Microsoft Office, notamment CVE-2012-0158, CVE-2017-11882 et CVE-2018-0802.

La charge utile finale de ces attaques est le NewCore RAT, mais Kaspersky a découvert deux variantes du malware utilisé (appelées BlueCore et RedCore), ce qui a conduit à l’identification de deux clusters d’activité différents.

Les variantes partagent un comportement similaire, exécutent du code à partir de DLL se faisant passer pour des dépendances d’utilitaires AV légitimes et exploitent un shellcode injecté similaire pour exécuter leurs implants, mais contiennent également des différences claires, telles que des fonctionnalités présentes uniquement dans RedCore: enregistrement des clés, énumération des périphériques, enregistreur RDP et serveur proxy.

Les deux versions de logiciels malveillants ont été utilisées pour cibler des entités diplomatiques et gouvernementales, mais chacune était axée sur une géographie différente, estime Kaspersky. Les opérateurs BlueCore visaient principalement …