Le prolifique SideWinder Le groupe a été reconnu comme l’acteur de l’État-nation derrière les tentatives d’attaques contre 61 entités en Afghanistan, au Bhoutan, au Myanmar, au Népal et au Sri Lanka entre juin et novembre 2021.
Les cibles comprenaient le gouvernement, l’armée, les forces de l’ordre, les banques et d’autres organisations, selon un rapport exhaustif publié par Group-IB, qui a également trouvé des liens entre l’adversaire et deux autres ensembles d’intrusion suivis comme Baby Elephant et DoNot Team.
SideWinder est également appelé APT-C-17, Hardcore Nationalist (HN2), Rattlesnake, Razor Tiger et T-APT4. Il est soupçonné d’être d’origine indienne, bien que Kaspersky en 2022 ait noté que l’attribution n’est plus déterministe.
Le groupe a été liée à pas moins de 1 000 attaques contre des organisations gouvernementales dans la région Asie-Pacifique depuis avril 2020, selon un rapport de la société russe de cybersécurité au début de l’année dernière.
Sur les 61 cibles potentielles compilées par Group-IB, 29 d’entre elles sont situées au Népal, 13 en Afghanistan, 10 au Myanmar, six au Sri Lanka et une est basée au Bhoutan.
Les chaînes d’attaque typiques montées par l’adversaire commencent par des e-mails de harponnage contenant une pièce jointe ou une URL piégée qui dirige les victimes vers une charge utile intermédiaire utilisée pour supprimer le logiciel malveillant de dernière étape.
SideWinder aurait également ajouté une liste de nouveaux outils à son fonctionnement, notamment un cheval de Troie d’accès à distance et un voleur d’informations écrit en Python capable d’exfiltrer des données sensibles stockées sur l’ordinateur d’une victime via Telegram.
« Les attaquants avancés ont commencé à préférer Telegram aux serveurs de commande et de contrôle traditionnels en raison de sa commodité », a déclaré Group-IB.
La société basée à Singapour a en outre déclaré avoir découvert des preuves liant l’acteur à une attaque de 2020 visant le gouvernement maldivien, en plus d’établir des chevauchements d’infrastructure et tactiques entre SideWinder, Baby Elephant et DoNot Team.
Bien que l’équipe DoNot soit connue pour s’intéresser au Bangladesh, à l’Inde, au Népal, au Pakistan et au Sri Lanka, Baby Elephant était d’abord documenté par la société chinoise de cybersécurité Antiy Labs en 2021 en tant que menace persistante avancée de l’Inde ciblant les agences gouvernementales et de défense en Chine et au Pakistan.
« Depuis 2017, le nombre d’attaques de ‘bébé éléphant’ a doublé chaque année, et les méthodes d’attaque et les ressources se sont progressivement enrichies, et la cible a commencé à couvrir davantage de zones en Asie du Sud », a déclaré la société. cité comme l’a dit le média d’État chinois Global Times à l’époque.
De plus, des similitudes de code source ont été découvertes entre SideWinder ainsi que ceux utilisé par d’autres groupes avec un accent sud-asiatique, comme Transparent Tribe, Patchwork (alias Hangover) et Équipe DoNot.
« Ces informations suggèrent que les acteurs de la menace parrainés par l’État sont heureux de s’emprunter des outils les uns aux autres et de les adapter à leurs besoins », a déclaré Group-IB.
La capacité de l’acteur menaçant à affiner en permanence son ensemble d’outils en fonction de l’évolution de ses priorités en fait un acteur particulièrement dangereux opérant dans le domaine de l’espionnage.
« Le groupe dispose évidemment de ressources financières considérables et est très probablement parrainé par l’État, étant donné que SideWinder a pu être actif depuis si longtemps, développer de nouveaux outils et maintenir une infrastructure réseau assez importante. »