Microsoft a annoncé lundi la saisie de 42 domaines utilisés par un groupe de cyberespionnage basé en Chine qui vise des organisations aux États-Unis et dans 28 autres pays en vertu d’un mandat légal délivré par un tribunal fédéral de l’État américain de Virginie.

La société de Redmond a attribué les activités malveillantes à un groupe qu’elle poursuit comme Nickel, et par l’industrie de la cybersécurité au sens large sous les surnoms APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon et Vixen Panda. L’acteur de la menace persistante avancée (APT) serait actif depuis au moins 2012.

« Nickel a ciblé des organisations des secteurs privé et public, notamment des organisations diplomatiques et des ministères des Affaires étrangères d’Amérique du Nord, d’Amérique centrale, d’Amérique du Sud, des Caraïbes, d’Europe et d’Afrique », a déclaré le vice-président de Microsoft pour la sécurité et la confiance des clients, Tom Burt, mentionné. « Il y a souvent une corrélation entre les cibles de Nickel et les intérêts géopolitiques de la Chine. »

L’infrastructure malveillante a permis à l’équipe de piratage de maintenir un accès à long terme aux machines compromises et d’exécuter des attaques à des fins de collecte de renseignements ciblant des agences gouvernementales anonymes, des groupes de réflexion et des organisations de défense des droits de l’homme dans le cadre d’une campagne d’espionnage numérique remontant à septembre 2019.

Microsoft a décrit les cyberattaques comme « hautement sophistiquées » qui utilisaient une multitude de techniques, notamment la violation des services d’accès à distance et l’exploitation des vulnérabilités des appliances VPN non corrigées ainsi que des systèmes Exchange Server et SharePoint pour « insérer des logiciels malveillants difficiles à détecter qui facilitent les intrusions, surveillance et vol de données. »

Après avoir pris pied, Nickel a déployé des outils de vidage d’informations d’identification et des voleurs tels que Mimikatz et WDigest pour pirater les comptes des victimes, puis a fourni des logiciels malveillants personnalisés qui ont permis à l’acteur de maintenir la persistance sur les réseaux des victimes sur de longues périodes et de se conduire régulièrement. exfiltration programmée de fichiers, exécuter un shellcode arbitraire et collecter des e-mails à partir de comptes Microsoft 365 à l’aide d’informations d’identification compromises.

Les multiples familles de portes dérobées utilisées pour le commandement et le contrôle sont suivies comme Neoichor, Leeson, NumbIdea, NullItch et Rokum.

La dernière vague d’attaques s’ajoute à une longue liste de campagnes de logiciels de surveillance montées par le groupe APT15 ces dernières années. En juillet 2020, la société de sécurité mobile Lookout divulgué quatre applications légitimes trojanisées – nommées SilkBean, DoubleAgent, CarbonSteal et GoldenEagle – qui ciblaient la minorité ethnique ouïghoure et la communauté tibétaine dans le but de collecter et de transmettre des données personnelles d’utilisateur à des serveurs de commande et de contrôle exploités par l’adversaire.

« Alors que l’influence de la Chine dans le monde continue de croître et que la nation établit des relations bilatérales avec davantage de pays et étend des partenariats à l’appui de la Chine. Initiative « la Ceinture et la Route », nous estimons que les acteurs de la menace basés en Chine continueront de cibler les clients dans les secteurs du gouvernement, de la diplomatie et des ONG pour obtenir de nouvelles informations, probablement à des fins d’espionnage économique ou de collecte de renseignements traditionnels », Microsoft mentionné.