Un groupe d’activités de menace parrainé par l’État chinois nommé RedAlpha a été attribué à une campagne de vol de masse de plusieurs années visant des organisations humanitaires mondiales, des groupes de réflexion et des organisations gouvernementales. « Dans cette activité, RedAlpha a très probablement cherché à accéder aux comptes de messagerie et à d’autres communications en ligne d’individus et d’organisations ciblés », a révélé Recorded Future dans un nouveau rapport. Acteur de menace moins connu, RedAlpha a été documenté pour la première fois par Citizen Lab en janvier 2018 et a l’habitude de mener des opérations de cyberespionnage et de surveillance dirigées contre la communauté tibétaine, certaines en Inde, pour faciliter la collecte de renseignements grâce au déploiement de la porte dérobée NjRAT. « Les campagnes […] combinent une reconnaissance légère, un ciblage sélectif et divers outils malveillants », notait à l’époque Recorded Future. Depuis lors, les activités malveillantes entreprises par le groupe ont impliqué la militarisation de pas moins de 350 domaines qui usurpent des entités légitimes telles que la Fédération internationale des droits de l’homme (FIDH), Amnesty International, l’Institut Mercator pour les études chinoises (MERICS), Radio Free Asia (RFA ) et l’Institut américain de Taïwan (AIT), entre autres. Le ciblage constant par l’adversaire des groupes de réflexion et des organisations humanitaires au cours des trois dernières années est conforme aux intérêts stratégiques du gouvernement chinois, ajoute le rapport. Les domaines usurpés, qui incluent également des fournisseurs légitimes de services de messagerie et de stockage tels que Yahoo!, Google et Microsoft, sont ensuite utilisés pour cibler des organisations et des individus proches afin de faciliter le vol d’informations d’identification. Les chaînes d’attaque commencent par des e-mails de phishing contenant des fichiers PDF qui intègrent des liens malveillants pour rediriger les utilisateurs vers des pages de destination malveillantes qui reflètent les portails de connexion par e-mail des organisations ciblées. « Cela signifie qu’ils étaient destinés à cibler des individus directement affiliés à ces organisations plutôt que de simplement imiter ces organisations pour cibler d’autres tiers », ont noté les chercheurs. Alternativement, les domaines utilisés dans l’activité de phishing d’informations d’identification hébergent des pages de connexion génériques pour des fournisseurs de messagerie populaires tels qu’Outlook, en plus d’émuler d’autres logiciels de messagerie tels que Zimbra utilisés par ces organisations spécifiques. Signe supplémentaire de l’évolution de la campagne, le groupe s’est également fait passer pour des pages de connexion associées aux ministères des affaires étrangères de Taïwan, du Portugal, du Brésil et du Vietnam, ainsi qu’au National Informatics Center (NIC) de l’Inde, qui gère l’infrastructure et les services informatiques de l’Inde. gouvernement. Le cluster RedAlpha semble en outre être lié à une société chinoise de sécurité de l’information connue sous le nom de Jiangsu Cimer Information Security Technology Co. Ltd. (anciennement Nanjing Qinglan Information Technology Co., Ltd.), soulignant l’utilisation continue d’entrepreneurs privés par les agences de renseignement dans le pays. « [Le ciblage de groupes de réflexion, d’organisations de la société civile et d’entités politiques et gouvernementales taïwanaises], associé à l’identification d’opérateurs probablement basés en Chine, indique un lien probable entre l’État chinois et l’activité de RedAlpha », ont déclaré les chercheurs.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *