Un groupe de menaces de cyberespionnage connu sous le nom de « Bitter » a été observé ciblant des organisations de défense en Turquie à l’aide d’une nouvelle famille de logiciels malveillants nommée MiyaRAT.
MiyaRAT est utilisé aux côtés du malware WmRAT, qui est un malware de cyberespionnage précédemment associé à Bitter.
Proofpoint a découvert la campagne et signale que le nouveau malware est probablement réservé à des cibles de grande valeur, déployées de manière sporadique.
Bitter est un groupe soupçonné de cyberespionnage sud-asiatique actif depuis 2013, ciblant le gouvernement et les organisations critiques en Asie.
En 2022, ils ont été repérés par Cisco Talos dans des attaques contre le gouvernement bangladais, utilisant une faille d’exécution de code à distance dans Microsoft Office pour supprimer les chevaux de Troie.
L’année dernière, Intezer a rapporté que Bitter se faisait passer pour l’ambassade du Kirghizistan à Pékin dans des attaques de phishing visant diverses sociétés et universitaires chinois du secteur de l’énergie nucléaire.
Abuser des flux de données alternatifs
Les attaques en Turquie ont commencé par un e-mail contenant un leurre de projet d’investissement étranger, en joignant une archive RAR.
L’archive contient un fichier PDF leurre (~tmp.pdf), un fichier raccourci déguisé en PDF (PROJETS D’INVESTISSEMENTS PUBLICS 2025.pdf.lnk) et des flux de données alternatifs (ADS) intégrés dans le fichier RAR nommé « Participation » et » Zone.Identifiant. »
Si le destinataire ouvre le fichier LNK, il déclenche l’exécution du code PowerShell masqué dans les PUBLICITÉS, ce qui ouvre le PDF leurre légitime pour la distraction. En même temps, il crée une tâche planifiée nommée « DsSvcCleanup » qui exécute une commande curl malveillante toutes les 17 minutes.
La commande atteint un domaine intermédiaire (jacknwoods[.] com) et attend des réponses telles que des commandes pour télécharger des charges utiles supplémentaires, effectuer une reconnaissance du réseau ou voler des données.
Proofpoint signale qu’une commande pour récupérer WmRAT (anvrsa.msi) dans l’attaque qu’ils ont examinée a été servi dans les 12 heures.
Le RAT Wm et le malware Miyara
Bitter a d’abord déployé Wm RAT sur la cible, mais lorsqu’il n’a pas réussi à établir la communication avec le serveur de commande et de contrôle, il a téléchargé MiyaRAT (gfxview.msi).
Les deux logiciels malveillants sont des chevaux de Troie d’accès à distance C++ (RATs) qui fournissent à Bitter des capacités d’exfiltration de données, de contrôle à distance, de capture d’écran, d’exécution de commandes (CMD ou PowerShell) et de surveillance du système.
Miyata est plus récent et généralement plus raffiné, avec un cryptage des données et des communications plus avancé, un shell inversé interactif et un contrôle amélioré des répertoires et des fichiers.
Son déploiement plus sélectif par Bitter peut indiquer que les acteurs de la menace le réservent à des cibles de grande valeur, minimisant ainsi son exposition aux analystes.
Les indicateurs de compromission (IOC) associés à cette attaque sont répertoriés au bas du rapport de Proofpoint, tandis qu’une règle YARA pour aider à détecter la menace est disponible ici.