Un acteur de la menace basé en Chine, suivi sous le nom d’Emperor Dragonfly et couramment associé à des activités cybercriminelles, a été observé en train d’utiliser dans une attaque par ransomware un ensemble d’outils précédemment attribué à des acteurs de l’espionnage.
Les pirates ont déployé le ransomware RA World contre une société asiatique de logiciels et de services et ont exigé une rançon initiale de 2 millions de dollars.
Des chercheurs de l’équipe de chasseurs de menaces de Symantec ont observé l’activité fin 2024 et mettent en évidence un chevauchement potentiel entre les acteurs du cyberespionnage soutenus par l’État et les groupes de cybercriminalité motivés financièrement.
“Lors de l’attaque fin 2024, l’attaquant a déployé un ensemble d’outils distinct qui avait déjà été utilisé par un acteur lié à la Chine dans des attaques d’espionnage classiques”, expliquent les chercheurs, ajoutant que « les outils associés aux groupes d’espionnage basés en Chine sont souvent des ressources partagées » mais « beaucoup ne sont pas accessibles au public et ne sont généralement pas associés à des activités de cybercriminalité.”
Un rapport de juillet 2024 de l’unité 42 de Palo Alto Networks associait également Emperor Dragonfly (alias Bronze Starlight) à RA World, bien qu’avec peu de confiance. Selon les chercheurs, le monde de la PR est issu du groupe RA, qui a été lancé en 2023 en tant que famille basée à Babuk.
De l’espionnage au ransomware
Entre juillet 2024 et janvier 2025, l’acteur espionné basé en Chine a ciblé des ministères gouvernementaux et des opérateurs de télécommunications en Europe du Sud-Est et en Asie, l’objectif apparent étant la persistance à long terme.
Dans ces attaques, une variante spécifique de la porte dérobée PlugX (Korplug) a été déployée avec un exécutable Toshiba (toshdpdb.exe) via le chargement latéral de DLL, avec une DLL malveillante (toshdpapi.dll).
De plus, Symantec a observé l’utilisation du proxy NPS, un outil développé en Chine utilisé pour la communication réseau secrète, et de diverses charges utiles cryptées RC4.
En novembre 2024, la même charge utile Korplug a été utilisée contre une société de logiciels sud-asiatique. Cette fois, il a été suivi d’une attaque de ransomware RA World.
L’attaquant aurait exploité Palo Alto PAN-OS (CVE-2024-0012) pour infiltrer le réseau, puis aurait suivi la même technique de chargement latéral impliquant l’exécutable Toshiba et le fichier DLL pour déployer Korplug avant de chiffrer les machines.
Sur la base des preuves disponibles, l’hypothèse est que les cyber-agents soutenus par l’État chinois menant des attaques d’espionnage pourraient “au clair de lune” en tant qu’acteurs de ransomware à des fins personnelles.
Le rapport de Symantec répertorie les indicateurs de compromission (IOC) associés à l’activité observée pour aider les défenseurs à détecter et à bloquer les attaques avant que des dommages ne soient causés.