Des chercheurs découvrent une nouvelle variantedu RAT PlugX

Des chercheurs découvrent une nouvelle variante du RAT PlugX

La société de cybersécurité slovaque ESET a identifié une campagne de cyberespionnage active grâce à une nouvelle variante du RAT PlugX. Les analystes associent cette campagne à Mustang Panda, un groupe APT chinois.

Une nouvelle variante basée sur PlugX

La nouvelle variante, baptisée Hodur, est basée sur PlugX, un RAT (Remote Access Trojan ou cheval de Troie d’accès à distance) créé et utilisé par les groupes ATP chnois. Les experts en cybersécurité soupçonnent Mustang Panda d’être l’auteur de la campagne.

Les acteurs malveillants utilisent une campagne de phishing pour atteindre leurs cibles. Ils diffusent des documents leurres d’actualité, régulièrement mis à jour et particulièrement convaincants. Ils se fixent comme objectif de collecter des données, d’échapper aux défenses et de créer une persistance.

Les cybercriminels ont par exemple utilisé des documents « mis à jour » sur la restriction de voyage dans un contexte pandémique. Il y a également eu des documents sur les règlements du Parlement européen. Certains ont même été extraits du site Web de l’institution européenne.

Les principales cibles

Les groupes ATP utilisent PlugX dans les attaques ciblées visant les organisations gouvernementales. Les industries clés sont aussi parfois visées. Cette campagne cible principalement les centres de recherche, les fournisseurs d’accès Internet ou encore les corps diplomatiques basés en Asie oriental

Certaines cibles sont localisées en Europe (dont la Grèce et le Chypre), d’autres en Russie et en Afrique (notamment en Afrique du Sud et au Soudan). Les chercheurs estiment que cette campagne a débuté en août 2021. Au mois de mars 2022, elle est toujours active.

Les charges utiles de Hodur sont déchiffrées en mémoire. Seule une forme chiffrée est écrite sur le disque. Toutes les chaînes sont par ailleurs cryptées et les appels de fonction de l’API Windows sont masqués. Hodur met également en œuvre des mesures anti-exécution et ajoute une  nouvelle entrée de registre pour obtenir la persistance.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest