Un groupe de menaces jusqu’alors inconnues ciblait des organisations européennes, notamment celles du secteur de la santé, pour déployer PlugX et son successeur, ShadowPad, les intrusions conduisant finalement au déploiement d’un ransomware appelé NailaoLocker dans certains cas.

La campagne, baptisée Green Nailao par le CERT Orange Cyberdefense, impliquait l’exploitation d’une faille de sécurité récemment corrigée dans les produits de sécurité des passerelles réseau Check Point ( CVE-2024-24919 , score CVSS : 7,5). Les attaques ont été observées entre juin et octobre 2024.

« La campagne s’est appuyée sur le détournement de l’ordre de recherche DLL pour déployer ShadowPad et PlugX, deux implants souvent associés aux intrusions ciblées liées à la Chine », a déclaré la société dans un rapport technique partagé avec The Hacker News.

L’accès initial offert par l’exploitation d’instances Check Point vulnérables aurait permis aux acteurs de la menace de récupérer les informations d’identification des utilisateurs et de se connecter au VPN à l’aide d’un compte légitime.

Dans l’étape suivante, les attaquants ont effectué une reconnaissance du réseau et un mouvement latéral via le protocole de bureau à distance (RDP) pour obtenir des privilèges élevés, suivi de l’exécution d’un binaire légitime (« logger.exe ») pour charger une DLL malveillante (« logexts.dll ») qui sert ensuite de chargeur pour une nouvelle version du malware ShadowPad .

Les itérations précédentes des attaques détectées en août 2024 se sont avérées exploiter une technique similaire pour diffuser PlugX , qui utilise également le chargement latéral de DLL à l’aide d’un exécutable McAfee (« mcoemcpy.exe ») pour charger latéralement « McUtil.dll ».

Comme PlugX, ShadowPad est un malware vendu en privé et utilisé exclusivement par les acteurs d’espionnage chinois depuis au moins 2015. La variante identifiée par Orange Cyberdefense CERT présente des mesures sophistiquées d’obfuscation et d’anti-débogage, ainsi que l’établissement d’une communication avec un serveur distant pour créer un accès distant persistant aux systèmes des victimes.

Il existe des preuves suggérant que les auteurs de la menace ont tenté d’exfiltrer des données en accédant au système de fichiers et en créant des archives ZIP. Les intrusions ont culminé avec l’utilisation de Windows Management Instrumentation (WMI) pour transmettre trois fichiers, un exécutable légitime signé par Beijing Huorong Network Technology Co., Ltd (« usysdiag.exe »), un chargeur nommé NailaoLoader (« sensapi.dll ») et NailaoLocker (« usysdiag.exe.dat »).

Une fois de plus, le fichier DLL est téléchargé via « usysdiag.exe » pour décrypter et déclencher l’exécution de NailaoLocker, un ransomware basé sur C++ qui crypte les fichiers, leur ajoute une extension « .locked » et envoie une note de rançon qui demande aux victimes d’effectuer un paiement en bitcoins ou de les contacter à une adresse Proton Mail.

« NailaoLocker est relativement peu sophistiqué et mal conçu, et ne semble pas destiné à garantir un cryptage complet », ont déclaré les chercheurs Marine Pichon et Alexis Bonnefoi.

« Il n’analyse pas les partages réseau, il n’arrête pas les services ou les processus qui pourraient empêcher le chiffrement de certains fichiers importants, [et] il ne contrôle pas s’il est en cours de débogage. »

Orange a attribué l’activité avec une confiance moyenne à un acteur de menace aligné sur la Chine en raison de l’utilisation de l’implant ShadowPad, de l’utilisation de techniques de chargement latéral de DLL et du fait que des schémas de ransomware similaires ont été attribués à un autre groupe de menace chinois surnommé Bronze Starlight .

De plus, l’utilisation de « usysdiag.exe » pour charger latéralement les charges utiles de l’étape suivante a déjà été observée dans des attaques montées par un ensemble d’intrusions liées à la Chine suivi par Sophos sous le nom de Cluster Alpha (alias STAC1248).

Bien que les objectifs exacts de la campagne d’espionnage et de ransomware ne soient pas clairs, on soupçonne que les acteurs de la menace cherchent à réaliser des profits rapides en parallèle.

« Cela pourrait expliquer le contraste de sophistication entre ShadowPad et NailaoLocker, NailaoLocker tentant même parfois d’imiter les techniques de chargement de ShadowPad », ont déclaré les chercheurs. « Bien que de telles campagnes puissent parfois être menées de manière opportuniste, elles permettent souvent aux groupes malveillants d’accéder à des systèmes d’information qui peuvent être utilisés ultérieurement pour mener d’autres opérations offensives. »