Une paire de rapports d’entreprises de cybersécurité SEKOIA et Trend Micro met en lumière une nouvelle campagne menée par un acteur menaçant chinois nommé Souris chanceuse qui implique l’utilisation d’une version cheval de Troie d’une application de messagerie multiplateforme pour les systèmes de porte dérobée.
Les chaînes d’infection exploitent une application de chat appelée MiMi, avec ses fichiers d’installation compromis pour télécharger et installer des exemples HyperBro pour le système d’exploitation Windows et des artefacts rshell pour Linux et macOS.
Pas moins de 13 entités différentes situées à Taïwan et aux Philippines ont été la cible des attaques, dont huit ont été touchées par des rshells. La première victime de rshell a été signalée à la mi-juillet 2021.
Lucky Mouse, également appelé APT27Bronze Union, Emissary Panda et Iron Tiger, est connue pour être active depuis 2013 et a l’habitude d’avoir accès à des réseaux ciblés dans la poursuite de ses objectifs politiques et militaires de collecte de renseignements alignés sur la Chine.
L’acteur avancé de menace persistante (APT) est également apte à exfiltrer des informations de grande valeur à l’aide d’une large gamme d’implants personnalisés tels que SysUpdate, HyperFrèreet PlugX.
Le dernier développement est important, notamment parce qu’il marque la tentative d’introduction de l’acteur menaçant de cibler macOS aux côtés de Windows et Linux.
La campagne a toutes les caractéristiques d’un attaque de la chaîne d’approvisionnement en ce que les serveurs principaux hébergeant les installateurs d’applications de MiMi sont contrôlés par Lucky Mouse, ce qui permet de modifier l’application pour récupérer les portes dérobées à partir d’un serveur distant.
Cela est confirmé par le fait que la version 2.3.0 de macOS de l’application a été falsifiée pour insérer le code JavaScript malveillant le 26 mai 2022. Bien qu’il s’agisse peut-être de la première variante macOS compromise, les versions 2.2.0 et 2.2.1 conçues pour Il a été constaté que Windows intègre des ajouts similaires dès le 23 novembre 2021.
rshell, pour sa part, est une porte dérobée standard qui vient avec toutes les cloches et sifflets habituels, permettant l’exécution de commandes arbitraires reçues d’un serveur de commande et de contrôle (C2) et retransmettant les résultats de l’exécution à le serveur.
Il n’est pas immédiatement clair si MiMi est un programme de chat légitime, ou s’il a été « conçu ou réutilisé comme un outil de surveillance », bien que l’application ait été utilisée par un autre acteur de langue chinoise surnommé Terre Berberoka (alias GamblingPuppet) destiné aux sites de jeu en ligne – une fois de plus révélateur du partage d’outils répandu parmi les groupes APT chinois.
Les connexions de l’opération à Lucky Mouse proviennent de liens vers des infrastructures précédemment identifiées comme étant utilisées par l’ensemble d’intrusion China-nexus et le déploiement d’HyperBro, une porte dérobée exclusivement utilisée par le groupe de pirates.
Comme le souligne SEKOIA, ce n’est pas la première fois que l’adversaire a recours à une application de messagerie comme point de départ dans ses attaques. Fin 2020, ESET a révélé qu’un logiciel de chat populaire appelé Able Desktop avait été abusé pour fournir HyperBro, PlugX et un cheval de Troie d’accès à distance appelé Tmanger ciblant la Mongolie.