Des acteurs parrainés par l’État chinois ciblent une agence gouvernementale depuis au moins mars 2023 dans le cadre d’une campagne de cyberespionnage que les chercheurs suivent sous le nom de Crimson Palace.
Selon un rapport de la société de cybersécurité Sophos, la campagne reposait sur de nouvelles variantes de logiciels malveillants et trois clusters d’activités différents qui indiquent une attaque coordonnée.
Bien que l’accès initial n’ait pas pu être déterminé, les chercheurs ont observé une activité connexe datant du début de 2022 qui utilisait le logiciel malveillant Nupakage personnalisé précédemment associé au groupe de menaces chinois Mustang Panda.
Trois groupes d’activités
Sophos a identifié trois groupes d’activités connectés à des groupes de menaces chinois connus tels que « Diplomatie de porte dérobée », « REF5961 », « Worok », « TA428 » et le sous-groupe APT41 Earth Longzhi.
Les analystes ont évalué avec un degré de confiance élevé que le fonctionnement de ces grappes est coordonné de manière centralisée au sein d’une seule organisation.
Cluster Alpha (STAC1248): actif de début mars à août 2023, il s’est concentré sur le déploiement de variantes de logiciels malveillants « EAGERBEE » mises à jour capables de perturber les communications réseau des agences de sécurité.
L’objectif principal était de mapper les sous-réseaux de serveurs et d’énumérer les comptes administrateurs en effectuant une reconnaissance sur l’infrastructure Active Directory.
L’activité reposait sur plusieurs canaux de commande et de contrôle persistants (C2), notamment Merlin Agent, Phantomsnet backdoor, RUDEBIRD malware et Powheartbeat backdoor.
Pour échapper à la détection, l’auteur de la menace a utilisé des binaires vivants hors du pays (LOLBins) pour la persistance du service avec des privilèges SYSTÈME élevés, et a effectué un chargement latéral de DLL avec huit DLL uniques, exploitant les services Windows et les binaires Microsoft légitimes.
Cluster Bravo (STAC1807): actif pendant seulement trois semaines en mars 2023, il s’est concentré sur le mouvement latéral et la persistance, laissant tomber une porte dérobée inconnue auparavant nommée « CCoreDoor » sur les systèmes cibles. La porte dérobée a établi des communications C2 externes, effectué la découverte et vidé les informations d’identification.
L’acteur a utilisé des versions renommées de binaires signés à chargement latéral pour obscurcir le déploiement de la porte dérobée et faciliter les mouvements latéraux tout en écrasant ntdll.dll en mémoire pour décrocher le processus Sophos endpoint protection agent du noyau.
Cluster Charlie (SCAT1305): actif de mars 2023 à au moins avril 2024, il s’est engagé dans une gestion persistante des accès et une reconnaissance approfondie sur une longue période.
L’acteur a déployé plusieurs échantillons d’un malware précédemment non identifié appelé « Proxy Poco », utilisé pour les communications persistantes en C2. Ils ont également utilisé le chargeur HUI pour injecter une balise de frappe au cobalt dans le mstsc.exe, bien que ces tentatives aient été bloquées.
De plus, l’auteur de la menace a injecté un intercepteur d’informations d’identification de connexion LSASS pour capturer les informations d’identification sur les contrôleurs de domaine et a effectué une analyse en masse des journaux d’événements et des balayages ping automatisés pour mapper les utilisateurs et les terminaux sur le réseau.
La campagne Crimson Palace visait une agence d’un gouvernement d’Asie du Sud-Est à des fins de cyberespionnage.
« Nous estimons avec une confiance modérée que plusieurs acteurs distincts parrainés par l’État chinois sont actifs dans cette organisation gouvernementale de premier plan en Asie du Sud-Est depuis au moins mars 2022 », explique Sophos.
« Bien que nous ne soyons actuellement pas en mesure d’effectuer une attribution à haute confiance ou de confirmer la nature de la relation entre ces clusters, notre enquête actuelle suggère que les clusters reflètent le travail d’acteurs distincts chargés par une autorité centrale d’objectifs parallèles dans la poursuite des intérêts de l’État chinois » – Sophos
Dans l’ensemble, les trois groupes fonctionnaient pendant les heures normales de travail en chinois (de 8h00 à 17h00 HNC), divisant la période en trois morceaux qui ne se chevauchent pas, ce qui indique un niveau élevé de coordination.
Sophos a constaté que les activités malveillantes augmentaient dans certains cas, comme le 12 juin 2023, qui était un jour férié dans le pays cible. Cela risquait de surprendre les défenseurs en sous-effectif et de mener des activités à un moment où les systèmes n’étaient pas aussi étroitement surveillés.
En raison du manque de visibilité, Sophos n’a pas pu déterminer l’accès initial, mais estime que l’auteur de la menace avait accès au réseau depuis au moins mars 2022, sur la base d’une détection du malware Nupakage qui est généralement utilisé pour exfiltrer les données.
L’attribution à haute confiance ou la confirmation de la relation entre les trois clusters est difficile, les chercheurs de Sophos estiment que l’activité détectée représente « le travail d’acteurs distincts chargés par une autorité centrale d’objectifs parallèles dans la poursuite des intérêts de l’État chinois. »
Bien que Sophos ait bloqué les implants C2 de l’acteur de la menace en août 2023 et que l’activité du Cluster Alpha n’ait pas été vue depuis, les chercheurs disent que l’activité du Cluster Charlie a été observée après quelques semaines de silence et que l’adversaire a tenté de percer le réseau et de reprendre les opérations « à un rythme plus élevé et de manière plus évasive. »
Sophos continue de surveiller l’activité d’intrusion sur le réseau cible.