Selon un rapport du fournisseur d’anti-malware Kaspersky, le groupe de cyberespionnage lié à la Chine, Cycldek, fait preuve d’une sophistication croissante dans une série d’attaques récentes visant des entités gouvernementales et militaires au Vietnam.

Actif depuis au moins 2013 et également appelé Goblin Panda et Conimes, Cycldek est connu pour le ciblage actif des gouvernements d’Asie du Sud-Est et leur préférence pour les cibles au Vietnam.

En juin de l’année dernière, il a été révélé que le groupe avait utilisé un logiciel malveillant personnalisé pour exfiltrer les données de systèmes à air comprimé, signe clair d’évolution pour un groupe considéré comme moins sophistiqué. Les attaques les plus récentes, dit Kaspersky, montrent une nouvelle augmentation de la sophistication.

Exécutée entre juin 2020 et janvier 2021, la campagne reposait sur une chaîne d’infection qui utilisait le chargement latéral de DLL pour fournir un code malveillant qui finirait par déployer un cheval de Troie d’accès à distance (RAT) pour fournir aux attaquants un contrôle total sur les machines compromises.

Dans le cadre d’une attaque contre une organisation vietnamienne de haut niveau, un composant légitime de Microsoft Outlook a été utilisé de manière abusive pour charger une DLL qui exécuterait un shellcode agissant comme un chargeur pour le FoundCore RAT.

Une fois déployé, le logiciel malveillant lancerait quatre processus: un pour établir la persistance en tant que service, le second pour masquer le premier processus, le troisième pour empêcher l’accès au fichier malveillant et le quatrième pour établir la connexion avec la commande et le contrôle (C&C). serveur.

FoundCore fournit à l’acteur menaçant un contrôle total sur la machine victime. Le logiciel malveillant prend en charge une variété de commandes, permettant la manipulation du système de fichiers, la manipulation de processus, l’exécution de commandes arbitraires et la capture d’écran. Les autres logiciels malveillants livrés dans le cadre des attaques sont DropPhone et CoreLoader.

«Nous avons observé cette campagne entre juin 2020 et janvier 2021. Selon notre télémétrie, des dizaines de …