Un groupe de menaces persistantes avancées (APT) lié à la Chine a été accusé d’une campagne de cyberespionnage très ciblée dans laquelle l’adversaire a empoisonné les requêtes du système de noms de domaine (DNS) pour diffuser sa porte dérobée MgBot caractéristique lors d’attaques ciblant des victimes en Turquie, en Chine et en Inde.

Selon Kaspersky, cette activité a été observée entre novembre 2022 et novembre 2024. Elle a été attribuée à un groupe de pirates informatiques appelé Evasive Panda , également connu sous les pseudonymes de Bronze Highland, Daggerfly et StormBamboo. Ce groupe serait actif depuis au moins 2012.

« Le groupe a principalement mené des attaques de type “adversaire du milieu” (AitM) contre des victimes spécifiques », a déclaré Fatih Şensoy, chercheur chez Kaspersky , dans une analyse approfondie. « Ces attaques incluaient des techniques telles que le dépôt de chargeurs à des emplacements précis et le stockage de parties chiffrées du logiciel malveillant sur des serveurs contrôlés par l’attaquant, lesquelles étaient résolues en réponse à des requêtes DNS spécifiques de sites web. »

Ce n’est pas la première fois que les capacités d’empoisonnement DNS d’Evasive Panda sont mises en lumière. Dès avril 2023, ESET notait que l’acteur malveillant aurait pu compromettre la chaîne d’approvisionnement ou mener une attaque AitM pour diffuser des versions infectées d’applications légitimes telles que Tencent QQ, dans le cadre d’une attaque visant une organisation non gouvernementale (ONG) internationale en Chine continentale.

En août 2024, un rapport de Volexity a révélé comment l’acteur malveillant a compromis un fournisseur d’accès Internet (FAI) non identifié au moyen d’une attaque par empoisonnement DNS pour diffuser des mises à jour de logiciels malveillants vers des cibles d’intérêt.

Evasive Panda fait également partie des nombreux groupes de cybercriminels liés à la Chine qui utilisent l’empoisonnement AitM pour diffuser des logiciels malveillants. Dans une analyse publiée le mois dernier, ESET a indiqué suivre dix groupes actifs basés en Chine qui ont exploité cette technique pour obtenir un premier accès ou se déplacer latéralement, notamment LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon et FontGoblin.

Dans les attaques documentées par Kaspersky, il a été constaté que l’auteur de la menace utilise des leurres se faisant passer pour des mises à jour de logiciels tiers, tels que SohuVA, un service de streaming vidéo de la société internet chinoise Sohu. La mise à jour malveillante est diffusée depuis le domaine « p2p.hd.sohu.com[.]cn », ce qui indique probablement une attaque par empoisonnement DNS.

« Il est possible que les attaquants aient utilisé une attaque par empoisonnement DNS pour modifier la réponse DNS de p2p.hd.sohu.com[.]cn vers l’adresse IP d’un serveur contrôlé par l’attaquant, tandis que le module de mise à jour légitime de l’application SohuVA tente de mettre à jour ses binaires situés dans appdata\roaming\shapp\7.0.18.0\package », a expliqué Şensoy.

Le fournisseur russe de cybersécurité a déclaré avoir également identifié d’autres campagnes dans lesquelles Evasive Panda utilisait un faux programme de mise à jour pour iQIYI Video de Baidu, ainsi que pour IObit Smart Defrag et Tencent QQ.

L’attaque ouvre la voie au déploiement d’un chargeur initial chargé de lancer un shellcode qui, à son tour, récupère un shellcode de deuxième étape chiffré sous la forme d’un fichier image PNG, toujours au moyen d’un empoisonnement DNS à partir du site web légitime dictionary[.]com.

Evasive Panda aurait manipulé l’adresse IP associée à dictionary[.]com, amenant les systèmes victimes à résoudre le site Web en une adresse IP contrôlée par l’attaquant en fonction de leur situation géographique et de leur fournisseur d’accès Internet.

On ignore pour l’instant comment l’auteur de la menace empoisonne les réponses DNS. Deux scénarios sont toutefois envisagés : soit les fournisseurs d’accès Internet des victimes ont été ciblés et compromis afin d’installer un logiciel malveillant sur leurs équipements périphériques, soit un routeur ou un pare-feu utilisé par les victimes a été piraté à cette fin.

La requête HTTP permettant d’obtenir le shellcode de deuxième niveau contient également le numéro de version actuel de Windows. Il s’agit probablement d’une tentative des attaquants de cibler des versions spécifiques de systèmes d’exploitation et d’adapter leur stratégie en fonction du système utilisé. Il convient de noter qu’Evasive Panda a déjà utilisé des attaques par point d’eau pour diffuser un malware ciblant macOS, nommé MACMA .

La nature exacte de la charge utile de la seconde étape reste floue, mais l’analyse de Kaspersky montre que le shellcode de la première étape déchiffre et exécute la charge utile récupérée. Il semblerait que les attaquants génèrent un fichier shellcode chiffré unique pour chaque victime afin d’échapper à la détection.

Un aspect crucial de l’opération réside dans l’utilisation d’un chargeur secondaire (« libpython2.4.dll ») qui nécessite le chargement latéral d’une version plus ancienne et renommée de « python.exe ». Une fois lancé, ce chargeur télécharge et déchiffre le logiciel malveillant de l’étape suivante en lisant le contenu du fichier « C:\ProgramData\Microsoft\eHome\perf.dat ». Ce fichier contient la charge utile déchiffrée téléchargée à l’étape précédente.

« Il semble que l’attaquant ait utilisé un processus complexe pour obtenir cette étape à partir d’une ressource où elle était initialement chiffrée par XOR », a déclaré Kaspersky. « L’attaquant a ensuite déchiffré cette étape avec XOR, puis l’a chiffrée et enregistrée dans perf.dat à l’aide d’une méthode hybride personnalisée combinant l’interface de programmation d’applications de protection des données (DPAPI) de Microsoft et l’algorithme RC5. »

L’utilisation d’un algorithme de chiffrement personnalisé est perçue comme une tentative de complexifier l’analyse en garantissant que les données chiffrées ne puissent être décodées que sur le système spécifique où le chiffrement a été initialement effectué, bloquant ainsi toute tentative d’interception et d’analyse de la charge utile malveillante.

Le code déchiffré est une variante de MgBot injectée par le chargeur secondaire dans un processus légitime « svchost.exe ». MgBot, un implant modulaire, est capable de collecter des fichiers, d’enregistrer les frappes au clavier, de récupérer les données du presse-papiers, d’enregistrer les flux audio et de voler les identifiants des navigateurs web. Ceci permet au logiciel malveillant de rester furtif dans les systèmes compromis pendant de longues périodes.

« Le groupe de menaces Evasive Panda a une fois de plus démontré ses capacités avancées, en contournant les mesures de sécurité grâce à de nouvelles techniques et de nouveaux outils, tout en maintenant une persistance à long terme dans les systèmes ciblés », a déclaré Kaspersky.