Un acteur menaçant suivi sous le surnom Webworm a été lié à des chevaux de Troie d’accès à distance Windows sur mesure, dont certains seraient en phase de pré-déploiement ou de test.

« Le groupe a développé des versions personnalisées de trois anciens chevaux de Troie d’accès à distance (RAT), y compris Trochilus RAT, Gh0st RATet 9002 RAT« , l’équipe Symantec Threat Hunter, qui fait partie de Broadcom Software, a dit dans un rapport partagé avec The Hacker News.

La société de cybersécurité a déclaré qu’au moins un des indicateurs de compromission (IOC) avait été utilisé dans une attaque contre un fournisseur de services informatiques opérant dans plusieurs pays asiatiques.

Il convient de souligner que les trois portes dérobées sont principalement associées à des acteurs menaçants chinois tels que Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) et Judgment Panda (APT31), entre autres, bien qu’ils aient été mis à profit par d’autres groupes de piratage.

Symantec a déclaré que l’acteur de la menace Webworm présente des chevauchements tactiques avec un autre nouveau collectif contradictoire documenté par Positive Technologies plus tôt en mai comme Pirates de l’espacequi a trouvé des entités frappantes dans l’industrie aérospatiale russe avec de nouveaux logiciels malveillants.

Space Pirates, pour sa part, recoupe une activité d’espionnage chinoise précédemment identifiée connue sous le nom de Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) et Night Dragon en raison de l’utilisation partagée de la post-exploitation. RAT modulaires comme PlugX et ShadowPad.

Parmi les autres outils de son arsenal de logiciels malveillants figurent Zupdax, Deed RAT, une version modifiée de Gh0st RAT connue sous le nom de BH_A006 et MyKLoadClient.

Webworm, actif depuis 2017, a fait ses preuves auprès d’agences gouvernementales et d’entreprises impliquées dans les services informatiques, l’aérospatiale et les industries de l’énergie électrique situées en Russie, en Géorgie, en Mongolie et dans plusieurs autres pays asiatiques.

Les chaînes d’attaque impliquent l’utilisation de logiciels malveillants dropper qui hébergent un chargeur conçu pour lancer des versions modifiées des chevaux de Troie d’accès à distance Trochilus, Gh0st et 9002. La plupart des changements visent à échapper à la détection, a déclaré la société de cybersécurité.

« L’utilisation par Webworm de versions personnalisées d’anciens logiciels malveillants, et dans certains cas open source, ainsi que les chevauchements de code avec le groupe connu sous le nom de Space Pirates, suggèrent qu’il pourrait s’agir du même groupe de menaces », ont déclaré les chercheurs.

« Cependant, l’utilisation commune de ces types d’outils et l’échange d’outils entre groupes dans cette région peuvent obscurcir les traces de groupes de menaces distincts, ce qui est probablement l’une des raisons pour lesquelles cette approche est adoptée, une autre étant le coût, car le développement de systèmes sophistiqués les logiciels malveillants peuvent être coûteux en termes d’argent et de temps. »