Une transformation s’opère dans le cyberespace chinois. Apparemment, des cyber-espions chinois semblent avoir modifié leurs cibles. Les recherches de Check Point indiquent que les hackers s’attaquent désormais aux ministères des affaires étrangères et aux ambassades européennes. Ils recourent pour cela à une technique astucieuse pour livrer des logiciels malveillants.
Une innovation inquiétante en matière d’espionnage numérique
Ces hackers se distinguent par leur méthode inventive pour tromper les systèmes de sécurité. Grâce à la technique de contrebande HTML, ils réussissent à camoufler le malware PlugX. Jusqu’ici, cette approche leur a permis d’échapper à la vigilance des systèmes de détection. Les leurres déposés sur VirusTotal, le référentiel de logiciels malveillants, renforcent cette thèse. Ils ciblent surtout les diplomates et les entités gouvernementales.
En outre, ils contiennent des données diplomatiques en lien avec la Chine. Ainsi, une fausse lettre de l’ambassade de Serbie à Budapest a été utilisée comme leurre. Un autre leurre énumère les objectifs de la présidence suédoise du Conseil de l’Union européenne. Un autre encore relate le cas de deux avocats chinois des droits de l’homme condamnés à de longues peines de prison.
Le malware PlugX, un outil privilégié des hackers
La technique de la contrebande HTML n’est pas nouvelle. Elle est utilisée depuis des années pour dissimuler des données et des fichiers. Ceux-ci échappent aux filtres de contenu automatisés en se cachant dans des blobs JavaScript. Ces derniers sont ensuite reconstitués sur l’ordinateur cible. Le malware PlugX, utilisé par ces hackers, est une version modifiée d’un outil déjà employé par différents groupes chinois présumés menaçants. Ces groupes ont notamment visé le Vatican en 2020, un service de renseignement indonésien en 2021 et l’Ukraine en 2022. Ce malware a aussi été découvert sur des clés USB servant à cibler des personnes en Mongolie, en Papouasie-Nouvelle-Guinée, au Ghana, au Zimbabwe et au Nigeria. Palo Alto Networks a consacré un rapport détaillé à ce malware en 2021.
Check Point surveille cette campagne, nommée SmugX. Elle est liée à des actions antérieurement signalées par les acteurs chinois APT RedDelta et Mustang Panda. En dépit de la familiarité des techniques employées, la combinaison de diverses tactiques et le recours à des chaînes d’infection variées rendent ces hackers difficilement détectables.
