Un groupe d’espionnage parrainé par l’État chinois connu sous le nom d’Override Panda a refait surface ces dernières semaines avec une nouvelle attaque de phishing dans le but de voler des informations sensibles.
« L’APT chinois a utilisé un e-mail de harponnage pour fournir une balise d’un framework Red Team connu sous le nom de » Viper « », a déclaré Cluster25 dans un rapport publié la semaine dernière.
« La cible de cette attaque est actuellement inconnue mais avec une forte probabilité, compte tenu des antécédents de l’attaque perpétrée par le groupe, il pourrait s’agir d’une institution gouvernementale d’un pays d’Asie du Sud. »
Override Panda, également appelé Naikon, Hellsing et Bronze Geneva, est connu pour opérer au nom des intérêts chinois depuis au moins 2005 pour mener des opérations de collecte de renseignements ciblant les pays de l’ANASE.
Les chaînes d’attaque déclenchées par l’acteur de la menace ont impliqué l’utilisation de documents leurres joints à des e-mails de harponnage conçus pour inciter les victimes visées à s’ouvrir et à se compromettre avec des logiciels malveillants.
En avril dernier, le groupe était lié à une vaste campagne de cyberespionnage dirigée contre des organisations militaires en Asie du Sud-Est. Puis en août 2021, Naikon a été impliqué dans des cyberattaques ciblant le secteur des télécoms dans la région fin 2020.
La dernière campagne repérée par Cluster25 n’est pas différente en ce sens qu’elle exploite un document Microsoft Office militarisé pour lancer la chaîne de destruction des infections qui comprend un chargeur conçu pour lancer un shellcode, qui, à son tour, injecte une balise pour l’outil de l’équipe rouge Viper.
Disponible en téléchargement sur GitHub, Viper est décrit comme un « outil graphique de pénétration d’intranet, qui modularise et militarise les tactiques et technologies couramment utilisées dans le processus de pénétration d’intranet ».
Le cadre, similaire à Cobalt Strike, comporterait plus de 80 modules pour faciliter l’accès initial, la persistance, l’escalade des privilèges, l’accès aux informations d’identification, le mouvement latéral et l’exécution de commandes arbitraires.
« En observant l’arsenal de piratage de Naikon APT, il a été conclu que ce groupe a tendance à mener des opérations de renseignement et d’espionnage à long terme, typiques d’un groupe qui vise à mener des attaques contre des gouvernements et des responsables étrangers », ont souligné les chercheurs.
« Pour éviter la détection et maximiser le résultat, il a changé différents [tactiques, techniques et procédures] et outils au fil du temps. »