Un groupe de piratage chinois a été attribué à une nouvelle campagne visant à infecter des responsables gouvernementaux en Europe, au Moyen-Orient et en Amérique du Sud avec un malware modulaire connu sous le nom de PlugX.
La société de cybersécurité Secureworks a déclaré avoir identifié les intrusions en juin et juillet 2022, démontrant une fois de plus la concentration continue de l’adversaire sur l’espionnage contre les gouvernements du monde entier.
« PlugX est un logiciel malveillant modulaire qui contacte un serveur de commande et de contrôle (C2) pour effectuer des tâches et peut télécharger des plugins supplémentaires pour améliorer sa capacité au-delà de la collecte d’informations de base », a déclaré Secureworks Counter Threat Unit (CTU) dans un communiqué. rapport partagé avec The Hacker News.
Bronze President est un acteur de la menace basé en Chine actif depuis au moins juillet 2018 et on estime qu’il s’agit probablement d’un groupe parrainé par l’État qui exploite une combinaison d’outils propriétaires et accessibles au public pour compromettre et collecter des données auprès de ses cibles.
Il est également documenté publiquement sous d’autres noms tels que HoneyMyte, Mustang Panda, Red Lich et Temp.Hex. L’un de ses principaux outils de choix est PlugX, un cheval de Troie d’accès à distance qui a été largement partagé par les collectifs adversaires chinois.
Plus tôt cette année, le groupe a été observé ciblant des représentants du gouvernement russe avec une version mise à jour de la porte dérobée PlugX appelée Hodur, aux côtés d’entités situées en Asie, dans l’Union européenne et aux États-Unis.
L’attribution par Secureworks de la dernière campagne au président de bronze découle de l’utilisation de PlugX et de documents de leurre à thème politique qui s’alignent sur les régions d’importance stratégique pour la Chine.
Les chaînes d’attaque distribuent des fichiers d’archive RAR contenant un fichier de raccourci Windows (.LNK) se faisant passer pour un document PDF, s’ouvrant et exécutant un fichier légitime présent dans un dossier caché imbriqué intégré dans l’archive.
Cela ouvre alors la voie à la suppression d’un document leurre, tandis que la charge utile PlugX configure la persistance sur l’hôte infecté.
« BRONZE PRESIDENT a démontré sa capacité à pivoter rapidement vers de nouvelles opportunités de collecte de renseignements », ont déclaré les chercheurs. « Les organisations situées dans des régions géographiques présentant un intérêt pour la Chine devraient surveiller de près les activités de ce groupe, en particulier les organisations associées ou opérant en tant qu’agences gouvernementales. »