Une paire de rapports des sociétés de cybersécurité SEKOIA et Trend Micro met en lumière une nouvelle campagne entreprise par un acteur menaçant chinois nommé Lucky Mouse qui consiste à tirer parti d’une version trojanisée d’une application de messagerie multiplateforme pour les systèmes de porte dérobée. Les chaînes d’infection exploitent une application de chat appelée MiMi, avec ses fichiers d’installation compromis pour télécharger et installer des exemples HyperBro pour le système d’exploitation Windows et des artefacts rshell pour Linux et macOS. Pas moins de 13 entités différentes situées à Taïwan et aux Philippines ont été la cible des attaques, dont huit ont été touchées par des rshells. La première victime de rshell a été signalée à la mi-juillet 2021. Lucky Mouse, également appelé APT27, Bronze Union, Emissary Panda et Iron Tiger, est connu pour être actif depuis 2013 et a l’habitude d’accéder à des réseaux ciblés dans la poursuite de ses objectifs politiques et militaires de collecte de renseignements alignés sur la Chine. L’acteur avancé de menace persistante (APT) est également apte à exfiltrer des informations de grande valeur à l’aide d’une large gamme d’implants personnalisés tels que SysUpdate, HyperBro et PlugX. Le dernier développement est important, notamment parce qu’il marque la tentative d’introduction de l’acteur menaçant de cibler macOS aux côtés de Windows et Linux.
La campagne présente toutes les caractéristiques d’une attaque de la chaîne d’approvisionnement en ce sens que les serveurs principaux hébergeant les installateurs d’applications de MiMi sont contrôlés par Lucky Mouse, ce qui permet de modifier l’application pour récupérer les portes dérobées à partir d’un serveur distant. Cela est confirmé par le fait que la version 2.3.0 de macOS de l’application a été falsifiée pour insérer le code JavaScript malveillant le 26 mai 2022. Bien qu’il s’agisse peut-être de la première variante macOS compromise, les versions 2.2.0 et 2.2.1 conçues pour Il a été constaté que Windows intègre des ajouts similaires dès le 23 novembre 2021. rshell, pour sa part, est une porte dérobée standard qui vient avec toutes les cloches et sifflets habituels, permettant l’exécution de commandes arbitraires reçues d’un serveur de commande et de contrôle (C2) et retransmettant les résultats de l’exécution à le serveur. Il n’est pas immédiatement clair si MiMi est un programme de chat légitime, ou s’il a été « conçu ou réutilisé comme un outil de surveillance », bien que l’application ait été utilisée par un autre acteur de langue chinoise surnommé Earth Berberoka (alias GamblingPuppet) destiné aux sites de jeu en ligne – une fois de plus révélateur du partage d’outils répandu entre les groupes APT chinois. Les connexions de l’opération à Lucky Mouse proviennent de liens vers des infrastructures précédemment identifiées comme étant utilisées par l’ensemble d’intrusion China-nexus et le déploiement d’HyperBro, une porte dérobée exclusivement utilisée par le groupe de pirates. Comme le souligne SEKOIA, ce n’est pas la première fois que l’adversaire a recours à une application de messagerie comme point de départ dans ses attaques. Fin 2020, ESET a révélé qu’un logiciel de chat populaire appelé Able Desktop avait été abusé pour fournir HyperBro, PlugX et un cheval de Troie d’accès à distance appelé Tmanger ciblant la Mongolie.