Jeudi, des chercheurs de la société de sécurité Symantec ont rendu compte d’une collaboration qui a fonctionné dans l’autre sens – par le groupe RA Ransomware mondial de RA d’un «ensemble d’outils distinct» qui a été considéré auparavant uniquement dans les opérations d’espionnage par un groupe de menaces lié à la Chine.
L’ensemble d’outils, repéré pour la première fois en juillet, était une variante de Plugx, une porte dérobée personnalisée. Les horodatages de l’ensemble d’outils étaient identiques à ceux trouvés par la société de sécurité Palo Alto Network dans la variante Thor Plugx, que les chercheurs de l’entreprise sont liés à un groupe d’espionnage chinois suivi sous les noms Fireant, Mustang Panda et Earth Preta. La variante avait également des similitudes avec la variante Plugx Type 2 trouvée par la société de sécurité Trend Micro.
D’autres attaques d’espionnage impliquant la même variante Plugx se sont produites en août, lorsque l’attaquant a compromis le gouvernement d’un pays du sud-est d’Europe. Ce même mois, l’attaquant a compromis un ministère gouvernemental dans un pays d’Asie du Sud-Est. En septembre 2024, l’attaquant a compromis un opérateur de télécommunications dans cette région et, en janvier, l’attaquant a ciblé un ministère du gouvernement dans un autre pays d’Asie du Sud-Est.
Les chercheurs de Symantec ont des théories concurrentes sur la raison de cette collaboration:
Il existe des preuves suggérant que cet attaquant peut avoir été impliqué dans les ransomwares depuis un certain temps. Dans un rapport sur les attaques du monde de RA, Palo Alto a déclaré qu’il avait trouvé des liens vers Bronze Starlight (alias Emperor Dragonfly), un acteur basé en Chine qui déploie différentes charges utiles de ransomware. L’un des outils utilisés dans cette attaque de ransomware était un outil de proxy appelé NPS, qui a été créé par un développeur basé en Chine. Cela a déjà été utilisé par Bronze Starlight. Sentinelone, quant à lui, a rapporté que Bronze Starlight avait été impliqué dans des attaques impliquant les familles de ransomwares de verrouillage, Atomsilo, Nightsky et Lockbit.
On ne sait pas pourquoi un acteur qui semble être lié aux opérations d’espionnage monte également une attaque de ransomware. Bien que cela ne soit pas inhabituel pour les acteurs de la menace nord-coréenne de s’engager dans des attaques motivées financièrement pour subventionner leurs opérations, il n’y a pas d’histoire similaire pour les acteurs de la menace d’espionnage basés en Chine, et il n’y a aucune raison évidente pour laquelle ils poursuivraient cette stratégie.
Une autre possibilité est que le ransomware a été utilisé pour couvrir les preuves de l’intrusion ou agir comme un leurre pour détourner l’attention de la vraie nature des attaques d’espionnage. Cependant, le déploiement des ransomwares n’a pas été très efficace pour couvrir les outils utilisés dans l’intrusion, en particulier ceux qui le relient à des attaques d’espionnage antérieures. Deuxièmement, l’objectif de ransomware n’était pas une organisation stratégiquement significative et était quelque chose d’une valeur aberrante par rapport aux cibles d’espionnage. Il semble inhabituel que l’attaquant irait de telles longueurs pour couvrir la nature de sa campagne. Enfin, l’attaquant semblait sérieux à l’idée de percevoir une rançon de la victime et a semblé avoir passé du temps à correspondre avec eux. Ce ne serait généralement pas le cas si l’attaque du ransomware était simplement une diversion.
Le scénario le plus probable est qu’un acteur, peut-être un individu, tentait de gagner de l’argent sur le côté en utilisant la boîte à outils de son employeur.
Le rapport de mardi de Mandiant a également noté l’utilisation de logiciels malveillants parrainés par l’État par des groupes criminels. Les chercheurs mandiants ont également signalé que l’observation de ce qu’ils croient être des groupes de motivations doubles qui recherchent à la fois le gain financier et l’accès à l’espionnage.
