
Une campagne de phishing que les chercheurs en sécurité ont nommée SmugX et attribuée à un acteur menaçant chinois cible les ambassades et les ministères des affaires étrangères au Royaume-Uni, en France, en Suède, en Ukraine, en République tchèque, en Hongrie et en Slovaquie depuis décembre 2022.
Des chercheurs de la société de cybersécurité Check Point ont analysé les attaques et observé des chevauchements avec des activités précédemment attribuées à des groupes de menaces persistantes avancées (APT) suivis comme Mustang Panda et RedDelta.
En examinant les documents de leurre, les chercheurs ont remarqué qu’ils sont généralement thématiques autour des politiques intérieures et étrangères européennes.

Parmi les échantillons que Check Point a collectés au cours de l’enquête figurent :
- Une lettre de l’ambassade de Serbie à Budapest
- un document énonçant les priorités de la présidence suédoise du Conseil de l’Union européenne
- une invitation à une conférence diplomatique délivrée par le ministère hongrois des Affaires étrangères
- un article sur deux avocats chinois des droits de l’homme
Les leurres utilisés dans la campagne SmugX trahissent le profil cible de l’acteur menaçant et indiquent que l’espionnage est l’objectif probable de la campagne.

Chaînes d’attaque SmugX
Check Point a observé que les attaques SmugX s’appuient sur deux chaînes d’infection, toutes deux utilisant la technique de contrebande HTML pour masquer les charges utiles malveillantes dans des chaînes codées de documents HTML joints au message leurre.
Une variante de la campagne fournit une archive ZIP avec un fichier LNK malveillant qui exécute PowerShell lors de son lancement, pour extraire une archive et l’enregistrer dans le répertoire temporaire de Windows.

L’archive extraite contient trois fichiers, l’un étant un exécutable légitime (soit « robotaskbaricon.exe » ou « passwordgenerator.exe ») d’une ancienne version du gestionnaire de mots de passe RoboForm qui permettait de charger des fichiers DLL sans rapport avec l’application, une technique appelée DLL sideloading .
Les deux autres fichiers sont une DLL malveillante (Roboform.dll) qui est chargée à l’aide de l’un des deux exécutables légitimes, et « data.dat » – qui contient le cheval de Troie d’accès à distance PlugX (RAT) exécuté via PowerShell.
La deuxième variante de la chaîne d’attaque utilise la contrebande HTML pour télécharger un fichier JavaScript qui exécute un fichier MSI après l’avoir téléchargé à partir du serveur de commande et de contrôle (C2) de l’attaquant.
Le MSI crée ensuite un nouveau dossier dans le répertoire « %appdata%\Local » et stocke trois fichiers : un exécutable légitime piraté, la DLL du chargeur et la charge utile PlugX chiffrée (« data.dat »).
Encore une fois, le programme légitime est exécuté et le logiciel malveillant PlugX est chargé en mémoire via le chargement latéral de DLL dans le but d’éviter la détection.
Pour assurer la persistance, le logiciel malveillant crée un répertoire caché dans lequel il stocke les fichiers DLL exécutables et malveillants légitimes et ajoute le programme à la clé de registre « Exécuter ».
Une fois PlugX installé et exécuté sur la machine de la victime, il peut charger un fichier PDF trompeur pour distraire la victime et réduire ses soupçons.
« Certaines des charges utiles PlugX que nous avons trouvées écrivent un leurre trompeur sous la forme d’un fichier PDF dans le répertoire %temp%, puis l’ouvrent. Le chemin du document est stocké dans la configuration PlugX sous nom_document. – Check Point

PlugX est un RAT modulaire qui a été utilisé par plusieurs APT chinois depuis 2008. Il est livré avec un large éventail de fonctions qui incluent l’exfiltration de fichiers, la prise de captures d’écran, l’enregistrement de frappe et l’exécution de commandes.
Bien que le logiciel malveillant soit généralement associé à des groupes APT, il a également été utilisé par des cybercriminels.
Cependant, la version que Check Point a vue déployée dans la campagne SmugX est en grande partie la même que celles vues dans d’autres attaques récentes attribuées à un adversaire chinois, à la différence qu’elle a utilisé le chiffrement RC4 au lieu de XOR.
Sur la base des détails découverts, les chercheurs de Check Point pensent que la campagne SmugX montre que les groupes de menaces chinois s’intéressent de plus en plus aux cibles européennes, probablement à des fins d’espionnage.