Un nouveau cyber espionnage La campagne cible les entreprises de télécommunications aux États-Unis, en Europe et en Asie du Sud-Est.

C’est selon la recherche avancée sur les menaces de McAfee (ATR) équipe. Ce système de sécurité néfaste vise à voler des informations sensibles ou secrètes relatives à la technologie 5G.

Surnommée Operation Diànxùn, la campagne de cyberespionnage utilise des logiciels malveillants se faisant passer pour des applications Adobe Flash. Il partage des tactiques, des techniques et des procédures (TTP) avec des attaques précédemment attribuées par l’industrie à Mustang Panda.

Les principales constatations comprennent:

• Le malwares se faisant passer pour des applications Adobe Flash se connecte à un domaine se faisant passer pour un site carrière légitime pour Huawei.
• Depuis mai 2020, des chercheurs en cybersécurité ont repéré une activité liée au groupe de menace chinois baptisé RedDelta. McAfee ATR croit que RedDelta et Mustang Panda sont les mêmes. Le groupe Mustang Panda a amélioré son arme de cyberattaque lors d’attaques attribuées à RedDelta.

Nombreuses victimes et décompte

Thomas Roccia est chercheur en sécurité au sein de l’équipe ATR. Selon lui, au moins 23 victimes ont été identifiées à ce jour.

Thomas Roccia de McAfee

«Bien que nous n’ayons aucune preuve d’informations volées, il est possible que les attaquants puissent utiliser la fausse application Flash installée sur les machines des victimes pour se déplacer latéralement à travers les organisations d’employeurs afin d’avoir un impact sur d’autres systèmes et ressources», a-t-il déclaré.

Il n’y a également aucune preuve d’informations spécifiques ciblées, a déclaré Roccia. Cependant, les cibles se situent principalement dans le secteur des télécommunications ou ont un lien avec ce secteur.

«Actuellement, il y a une course mondiale dans le 5G déploiement de la dorsale », a-t-il déclaré. «Et la plupart des organisations où nous avons observé des appels de télémétrie exprimaient des inquiétudes concernant le déploiement de la technologie 5G depuis la Chine. Tous ces indicateurs, en plus de la motivation des acteurs de la menace habituellement observés et des TTP, nous donnent un niveau de confiance modéré que la motivation derrière cette campagne spécifique est liée à la technologie chinoise dans le déploiement mondial de la 5G.

Bien que le vecteur initial de l’infection ne soit pas tout à fait clair, le McAfee L’équipe croit avec un niveau de confiance moyen que les pirates malveillants ont attiré leurs victimes vers un domaine sous leur contrôle. Là, les pirates les ont infectés avec des logiciels malveillants, qu’ils ont utilisés pour effectuer des découvertes et des collectes de données supplémentaires. Les attaquants ont utilisé un Hameçonnage site Web se faisant passer pour la page de carrière de l’entreprise Huawei.