L’APT chinois TA423 mène activement des campagnes d’espionnage aux quatre coins du monde. Le groupe cible tous les secteurs d’activité allant de l’énergie à l’enseignement.
Des attaques de phishing et de watering hole pour espionner les cibles
Selon les chercheurs, TA423 est actif depuis 2013. Il cible un large éventail d’entreprises et d’organisations. Les sous-traitants de la défense, les organisations gouvernementales et diplomatiques ainsi que les universités en Australie, en Malaisie et en Europe font partie de ses cibles.
Les entreprises de l’industrie de l’énergie, les établissements de santé, les cabinets juridiques et les sociétés étrangères opérant dans la mer de Chine méridionale sont également largement ciblés. Pour collecter des informations sur les entreprises cibles, l’APT (groupe de menace persistante avancée) mène des campagnes de phishing et de watering hole.
Une attaque de watering hole (ou attaque de point d’eau) consiste pour un hacker à détourner un site Web légitime. L’opération vise principalement à installer un Malware sur l’appareil d’une victime et d’accéder au réseau sur le lieu de travail de la cible.
APT chinois : les techniques d’espionnage
Le groupe de menace chinois utilise plusieurs techniques pour exfiltrer les informations des entreprises victimes. Il utilise notamment des mails de phishing pour rediriger les victimes vers un site Web malveillant.
Si les cibles visitent le site, leur système sera infecté par ScanBox. Il s’agit d’un code JavaScript utilisé pour collecter des informations sur le système du visiteur. La charge utile principale définit sa configuration : les informations à collecter, le serveur C2 à contacter, etc.
La charge utile livre également de nombreux plug-ins dont l’enregistreur de frappe par exemple ou un plug-in de contrôle de sécurité. Les observations les plus récentes ont permis de confirmer que la campagne de phishing est toujours active. Par ailleurs, la portée des attaques reste mondiale.
- Partager l'article :