• Cette campagne remonte au moins à août 2021 et est toujours en cours en mars 2022.
• Mustang Panda, le groupe APT derrière la campagne, cible principalement les gouvernements et les ONG. La plupart des victimes sont en Asie de l'Est et du Sud-Est, mais quelques-unes sont en Europe (Grèce, Chypre, Russie) et en Afrique (Afrique du Sud, Soudan du Sud).
• Parmi les victimes connues, il y a des entités de recherche, des fournisseurs de services Internet et des missions diplomatiques européennes.
• La chaîne de compromis comprend des documents leurres souvent mis à jour et liés aux événements en Europe et à la guerre en Ukraine.
• La campagne utilise un chargeur personnalisé pour exécuter Hodur, nouvelle variante de Korplug.
• Chaque étape du processus de déploiement utilise des techniques d'anti-analyse et d'obscurcissement du flux de contrôle, ce qui la distingue des autres campagnes.
BRATISLAVA, MONTREAL — le 23 mars 2022 — ESET Research a découvert une campagne de cyber-espionnage utilisant une variante Korplug, précédemment non documentée, du groupe Mustang Panda APT. La campagne actuelle exploite la guerre en Ukraine et d'autres sujets d'actualité européens. Les victimes connues comprennent des entités de recherche, des fournisseurs de services Internet (FAI) et des missions diplomatiques européennes principalement situées en Asie de l'Est et du Sud-Est. Les chercheurs d'ESET ont nommé cette nouvelle variante de Korplug Hodur en raison de sa ressemblance avec la variante THOR documentée en 2020. Dans la mythologie nordique, Hodur est le demi-frère aveugle de Thor.
Les victimes de cette campagne sont probablement attirées par des documents de phishing abusant des derniers événements en Europe tels que l'invasion de l'Ukraine. Selon le Haut-Commissariat aux Réfugiés, l'invasion a déjà poussé plus de trois millions d'habitants (three million residents) à fuir la guerre vers les pays voisins, entraînant une crise sans précédent aux frontières de l'Ukraine. L'un des noms de fichiers liés à cette campagne est "Situation aux frontières de l'UE avec l'Ukraine.exe".
D'autres leurres de phishing mentionnent des restrictions de voyage COVID-19 mises à jour, une carte des aides régionales approuvées pour la Grèce et un règlement du Parlement Européen et du Conseil. Le leurre final est un vrai document disponible sur le site du Conseil européen. Cela montre que le groupe à l'origine de cette campagne suit l'actualité et peut y réagir avec succès et rapidité.
"Basé sur des similitudes de code et de nombreux points communs dans les tactiques, techniques et procédures, les chercheurs d'ESET attribuent cette campagne avec certitude à Mustang Panda, connu sous les noms de TA416, RedDelta ou PKPLUG. C’est un groupe de cyber-espionnage ciblant principalement les entités gouvernementales et les ONG », explique Alexandre Côté Cyr, chercheur spécialisé en maliciels chez ESET, qui a découvert Hodur. Les victimes de Mustang Panda sont principalement, mais pas exclusivement, situées en Asie de l'Est et Sud-Est. Le groupe est aussi connu pour sa campagne ciblant le Vatican en 2020 (campaign targeting the Vatican in 2020).
Alors que les chercheurs d'ESET n'étaient pas en mesure d'identifier toutes les victimes, la campagne semble avoir les mêmes objectifs de ciblage que les autres campagnes Mustang Panda. Suivant la victimologie typique de l'APT, la plupart des victimes se trouvent en Asie de l'Est et du Sud-Est, ainsi que dans des pays européens et africains. Selon la télémétrie ESET, la majorité des cibles se trouvent en Mongolie et au Vietnam, suivies du Myanmar, avec seulement quelques-unes dans d'autres pays, tels que la Grèce, Chypre, la Russie, le Soudan du Sud et l'Afrique du Sud. Les secteurs verticaux identifiés comprennent les missions diplomatiques, les entités de recherche et les FAI.
Les campagnes de Mustang Panda utilisent souvent des chargeurs personnalisés pour les maliciels partagés, notamment Cobalt Strike, Poison Ivy et Korplug (aussi appelé PlugX). Le groupe est également connu pour créer ses propres variantes Korplug. « Comparé à d'autres campagnes utilisant Korplug, chaque étape du processus de déploiement utilise des techniques d'anti-analyse et d'obscurcissement du flux de contrôle, ce qui rend l'enquête plus difficile pour nous, chercheurs en malwares », conclut Côté Cyr.
Pour une analyse technique approfondie, lisez le blog sur
www.welivesecurity et suivez ESET Research sur Twitter pour les dernières nouvelles d'ESET Research.