Un groupe de cyberespionnage connu sous le nom de Earth Ammit a été lié à deux campagnes liées mais distinctes de 2023 à 2024 ciblant diverses entités à Taïwan et en Corée du Sud, notamment les secteurs militaire, satellite, industrie lourde, médias, technologie, services logiciels et santé.

L’entreprise de cybersécurité Trend Micro a déclaré que la première vague, baptisée VENOM, visait principalement les fournisseurs de services logiciels, tandis que la seconde, baptisée TIDRONE, ciblait l’industrie militaire. Earth Ammit serait lié à des groupes étatiques sinophones.

« Dans sa campagne VENOM, Earth Ammit a infiltré le segment amont de la chaîne d’approvisionnement des drones », ont déclaré les chercheurs en sécurité Pierre Lee, Vickie Su et Philip Chen . « L’objectif à long terme d’Earth Ammit est de compromettre les réseaux de confiance par des attaques de chaîne d’approvisionnement, ce qui lui permettra de cibler des entités de grande valeur en aval et d’amplifier sa portée. »

La campagne TIDRONE a été révélée pour la première fois par Trend Micro l’année dernière, détaillant les attaques du groupe contre des fabricants de drones à Taïwan pour diffuser des logiciels malveillants personnalisés tels que CXCLNT et CLNTEND. Un rapport ultérieur d’AhnLab, publié en décembre 2024, détaillait l’utilisation de CLNTEND contre des entreprises sud-coréennes.

Ces attaques sont particulièrement remarquables car elles ciblent la chaîne d’approvisionnement des drones, exploitant des progiciels de gestion intégrés (ERP) pour pénétrer les secteurs militaire et satellitaire. Certains incidents ont également impliqué l’utilisation de canaux de communication fiables, tels que la surveillance à distance ou les outils de gestion informatique, pour diffuser les charges utiles malveillantes.

Selon Trend Micro, la campagne VENOM se caractérise par l’exploitation des vulnérabilités des serveurs web pour y installer des shells web, puis en exploiter l’accès pour installer des outils d’accès à distance (RAT) permettant un accès permanent aux hôtes compromis. L’utilisation d’outils open source comme REVSOCK et Sliver dans ces attaques est perçue comme une tentative délibérée de brouiller les pistes d’attribution.

Le seul malware sur mesure observé dans la campagne VENOM est VENFRPC, une version personnalisée de FRPC , qui, en soi, est une version modifiée de l’outil proxy inverse rapide (FRP) open source.

L’objectif final de la campagne est de collecter les identifiants des environnements compromis et d’utiliser les informations volées comme tremplin pour la phase suivante, TIDRONE, destinée aux clients en aval. La campagne TIDRONE se déroule en trois étapes :

• Accès initial, qui reflète la campagne VENOM en ciblant les fournisseurs de services pour injecter du code malveillant et distribuer des logiciels malveillants aux clients en aval
• Commande et contrôle, qui utilise un chargeur DLL pour supprimer les portes dérobées CXCLNT et CLNTEND
• Post-exploitation, qui implique la configuration de la persistance, l’élévation des privilèges, la désactivation du logiciel antivirus à l’aide de TrueSightKiller et l’installation d’un outil de capture d’écran appelé SCREENCAP à l’aide de CLNTEND

« La fonctionnalité principale de CXCLNT repose sur un système de plugins modulaire. Lors de son exécution, il récupère des plugins supplémentaires depuis son serveur C&C pour étendre ses capacités de manière dynamique », explique Trend Micro. « Cette architecture non seulement masque la véritable fonction de la porte dérobée lors de l’analyse statique, mais permet également des opérations flexibles et à la demande, en fonction des objectifs de l’attaquant. »

On dit que CXCLNT est utilisé dans des attaques depuis au moins 2022. CLNTEND, détecté pour la première fois en 2024, est son successeur et est livré avec un ensemble étendu de fonctionnalités pour contourner la détection.

Le lien entre VENOM et TIDRONE provient de victimes et de fournisseurs de services communs, ainsi que d’une infrastructure de commandement et de contrôle commune, ce qui indique qu’un acteur malveillant commun est à l’origine des deux campagnes. Trend Micro a déclaré que les tactiques, techniques et procédures (TTP) de l’équipe de pirates informatiques ressemblent à celles utilisées par un autre groupe de pirates informatiques d’État chinois, identifié sous le nom de Dalbit (alias m00nlight), ce qui suggère une boîte à outils commune.

« Cette progression témoigne d’une stratégie délibérée : commencer par des outils peu coûteux et à faible risque pour établir l’accès, puis évoluer vers des capacités sur mesure pour des intrusions plus ciblées et plus percutantes », ont déclaré les chercheurs. « Comprendre ce modèle opérationnel sera essentiel pour prédire les futures menaces de cet acteur et s’en défendre. »

Le Japon et Taïwan ciblés par Swan Vector#

Cette révélation intervient alors que Seqrite Labs a révélé les détails d’une campagne de cyberespionnage baptisée Swan Vector qui a ciblé des établissements d’enseignement et l’industrie de l’ingénierie mécanique à Taiwan et au Japon avec de faux leurres de CV distribués via des e-mails de spear-phishing pour fournir un implant DLL appelé Pterois, qui est ensuite utilisé pour télécharger le shellcode Cobalt Strike.

Pterois est également conçu pour télécharger depuis Google Drive un autre malware appelé Isurus, qui est ensuite responsable de l’exécution du framework post-exploitation Cobalt Strike. La campagne a été attribuée à un acteur malveillant d’Asie de l’Est avec un niveau de confiance moyen.

« L’acteur de la menace est basé en Asie de l’Est et est actif depuis décembre 2024, ciblant plusieurs entités basées sur le recrutement à Taïwan et au Japon », a déclaré le chercheur en sécurité Subhajeet Singha .

« L’acteur de la menace s’appuie sur le développement personnalisé d’implants comprenant un téléchargeur, des chargeurs de shellcode et Cobalt Strike comme outils clés, en s’appuyant fortement sur de multiples techniques d’évasion telles que le hachage d’API, les appels système directs, le rappel de fonction, le chargement latéral de DLL et l’auto-suppression pour éviter de laisser toute sorte de traces sur la machine cible. »