Une menace persistante avancée (APT) chinoise connue sous le nom de Gallium a été observée en utilisant un cheval de Troie d’accès à distance précédemment non documenté dans ses attaques d’espionnage ciblant des entreprises opérant en Asie du Sud-Est, en Europe et en Afrique. Appelée PingPull, la porte dérobée « difficile à détecter » se distingue par son utilisation du protocole ICMP (Internet Control Message Protocol) pour les communications de commande et de contrôle (C2), selon une nouvelle étude publiée aujourd’hui par l’unité 42 de Palo Alto Networks. Gallium est connu pour ses attaques visant principalement les entreprises de télécommunications remontant à 2012. Également suivi sous le nom de Soft Cell par Cybereason, l’acteur parrainé par l’État a été connecté à un ensemble plus large d’attaques ciblant cinq grandes entreprises de télécommunications situées dans le sud-est. pays asiatiques depuis 2017. Au cours de l’année écoulée, cependant, le groupe aurait élargi son empreinte de victimologie pour inclure des institutions financières et des entités gouvernementales situées en Afghanistan, en Australie, en Belgique, au Cambodge, en Malaisie, au Mozambique, aux Philippines, en Russie et au Vietnam.
PingPull, un logiciel malveillant basé sur Visual C++, offre à un pirate la possibilité d’accéder à un shell inversé et d’exécuter des commandes arbitraires sur un hôte compromis. Cela englobe l’exécution d’opérations sur les fichiers, l’énumération des volumes de stockage et l’horodatage des fichiers. « Les échantillons PingPull qui utilisent ICMP pour les communications C2 envoient des paquets ICMP Echo Request (ping) au serveur C2 », ont détaillé les chercheurs. « Le serveur C2 répondra à ces demandes d’écho avec un paquet de réponse d’écho pour envoyer des commandes au système. » Sont également identifiées des variantes de PingPull qui s’appuient sur HTTPS et TCP pour communiquer avec son serveur C2 au lieu d’ICMP et plus de 170 adresses IP associées au groupe depuis fin 2020. On ne sait pas immédiatement comment les réseaux ciblés sont piratés, bien que l’acteur de la menace soit connu pour exploiter les applications exposées à Internet pour prendre un pied initial et déployer une version modifiée du shell Web China Chopper pour établir la persistance. « Le gallium reste une menace active pour les télécommunications, la finance et les organisations gouvernementales en Asie du Sud-Est, en Europe et en Afrique », ont noté les chercheurs. « Bien que l’utilisation du tunneling ICMP ne soit pas une nouvelle technique, PingPull utilise ICMP pour rendre plus difficile la détection de ses communications C2, car peu d’organisations mettent en œuvre l’inspection du trafic ICMP sur leurs réseaux. »