Le groupe de hackers chinois « Blackwood » espionne des personnes et des entreprises au Royaume-Uni, en Chine et au Japon à l'aide d'un outil appelé NSPX30. Le malware atteint les appareils cibles via les mises à jour officielles de l'application.
Les cybercriminels trouvent toujours des moyens ingénieux d’obtenir des données précieuses. Comme l’ont découvert les chercheurs d’ESET, un groupe de hackers chinois jusqu’alors inconnu recherche des données à l’aide d’un nouvel outil appelé NSPX30. Sa particularité : au lieu d'infecter l'utilisateur via des pièces jointes malveillantes et des sites Web, il atteint ses systèmes cibles via les mises à jour officielles des applications. Depuis 2018, « Blackwood », comme l’appelle l’équipe dirigée par le chercheur d’ESET Facundo Muñoz, espionne des personnes et des entreprises au Royaume-Uni, en Chine et au Japon.
NSPX30 transmet des captures d'écran et des informations enregistrées
Une fois le malware installé, il commence immédiatement à collecter des données et à les transmettre à ceux qui en sont à l’origine. Cela inclut les captures d'écran, les informations stockées sur l'appareil et les frappes au clavier. Cependant, le schéma exact de l'attaque et la manière dont le groupe dissimule son identité restent inconnus :
"Nous ne savons pas exactement comment les attaquants parviennent à diffuser NSPX30 sous forme de mises à jour malveillantes, car nous n'avons pas encore découvert l'outil utilisé par les criminels pour compromettre initialement leurs cibles", explique le chercheur d'ESET, Facundo Muñoz, qui gère NSPX30 et a découvert Blackwood. « Cependant, nous soupçonnons que les attaquants déploient le malware sur les réseaux de leurs victimes en l'installant sur des périphériques réseau vulnérables tels que des routeurs ou des passerelles. Ceci est étayé par notre expérience avec des acteurs chinois similaires, ainsi que par des enquêtes récentes sur des implants de routeurs attribués à un autre groupe chinois, MustangPanda.
Qui sont les victimes de Blackwood ?
Les cibles du nouveau groupe de piratage incluent des personnes non identifiées en Chine et au Japon, ainsi qu'une personne non identifiée parlant chinois liée au réseau d'une prestigieuse université de recherche publique au Royaume-Uni. Une grande société de production et de commerce en Chine ainsi que les succursales d'une société de production japonaise basée dans ce pays se trouvent également dans la ligne de mire de Blackwood.
Comme l'ont observé les chercheurs d'ESET, il n'est pas facile pour les personnes et les organisations concernées de repousser enfin les attaques : les acteurs tentent à plusieurs reprises de compromettre les systèmes de leurs victimes dès que l'accès est perdu.
Blackwood Group utilise un cyber-implant persistant
Blackwood est un groupe Advanced Persistent Threat (APT) financé par l’État chinois et actif depuis au moins 2018. Depuis lors, elle mène des campagnes de cyberespionnage contre des individus et des entreprises chinois et japonais, principalement par le biais du cyberespionnage. Elle préfère la méthode Adversary-in-the-Middle (AitM) : les cybercriminels interfèrent avec la communication entre l'utilisateur et un service légitime et peuvent même l'utiliser pour contourner des mécanismes de sécurité comme l'authentification multifacteur.
Dans ses attaques, le groupe Blackwood a utilisé un outil au nom énigmatique NSPX30. Il s'agit d'un soi-disant implant, c'est-à-dire d'un malware qui permet aux pirates informatiques d'accéder largement aux systèmes de leurs victimes. La version de base de cet outil est apparue pour la première fois en 2005. Cet implant contient diverses fonctionnalités, notamment un compte-gouttes, un installateur, un orchestrateur et une porte dérobée. Les deux dernières fonctions permettent aux pirates d'espionner des applications telles que Skype, Telegram et les services de messagerie Tencent QQ et WeChat, particulièrement populaires en Chine. Deux fonctions rendent l'implant particulièrement sournois :
- NSPX30 peut infiltrer diverses solutions anti-malware chinoises pour éviter d'être détecté
- L'installation s'effectue via une mise à jour officielle : si vous essayez de télécharger des applications telles que Tencent QQ Messenger ou les applications bureautiques Sogou Pinyin et WPS Office Updates via une connexion non cryptée, l'implant s'installe en même temps. Les victimes n'ont même pas besoin de se rendre sur un site compromis ou de cliquer sur un lien de phishing pour être infectées.
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.
Articles liés au sujet