
Un groupe de piratage chinois connu sous le nom de StormBamboo a compromis un fournisseur de services Internet (FAI) non divulgué pour empoisonner les mises à jour logicielles automatiques avec des logiciels malveillants.
Également connu sous le nom de Evasive Panda, Daggerfly et StormCloud, ce groupe de cyberespionnage est actif depuis au moins 2012, ciblant des organisations en Chine continentale, à Hong Kong, à Macao, au Nigéria et dans divers pays d’Asie du Sud-Est et d’Asie de l’Est.
Vendredi, les chercheurs en menaces de Volexity ont révélé que le gang de cyberespionnage chinois avait exploité des mécanismes de mise à jour logicielle HTTP non sécurisés qui ne validaient pas les signatures numériques pour déployer des charges utiles de logiciels malveillants sur les appareils Windows et macOS des victimes.
« Lorsque ces applications allaient récupérer leurs mises à jour, au lieu d’installer la mise à jour prévue, elles installaient des logiciels malveillants, y compris, mais sans s’y limiter, MACMA et POCOSTICK (alias MGBot) », a expliqué la société de cybersécurité Volexity dans un rapport publié vendredi.
Pour ce faire, les attaquants ont intercepté et modifié les requêtes DNS des victimes et les ont empoisonnées avec des adresses IP malveillantes. Cela a livré le logiciel malveillant aux systèmes des cibles à partir des serveurs de commande et de contrôle de StormBamboo sans nécessiter d’interaction de l’utilisateur.
Par exemple, ils ont profité des demandes de 5KPlayer pour mettre à jour la dépendance youtube-dl pour pousser un installateur backdoor hébergé sur leurs serveurs C2.
Après avoir compromis les systèmes de la cible, les auteurs de la menace ont installé une extension malveillante Google Chrome (ReloadText), qui leur a permis de récolter et de voler des cookies de navigateur et des données de messagerie.

« Volexity a observé que StormBamboo ciblait plusieurs éditeurs de logiciels, qui utilisent des flux de travail de mise à jour non sécurisés, utilisant différents niveaux de complexité dans leurs étapes pour pousser les logiciels malveillants », ont ajouté les chercheurs.
« Volexity a informé et travaillé avec le FAI, qui a enquêté sur divers appareils clés fournissant des services de routage du trafic sur leur réseau. Lorsque le FAI a redémarré et mis divers composants du réseau hors ligne, l’empoisonnement du DNS s’est immédiatement arrêté. »
En avril 2023, les chercheurs en menaces d’ESET ont également observé le groupe de piratage déployer la porte dérobée Windows Pocostick (MGBot) en abusant du mécanisme de mise à jour automatique de l’application de messagerie Tencent QQ dans des attaques ciblant des ONG internationales (organisations non gouvernementales).
Près d’un an plus tard, en juillet 2024, l’équipe de chasse aux menaces de Symantec a repéré les pirates chinois ciblant une ONG américaine en Chine et plusieurs organisations à Taiwan avec de nouvelles versions de logiciels malveillants Macma macOS backdoor et Nightdoor Windows.
Dans les deux cas, bien que la compétence des attaquants soit évidente, les chercheurs pensaient qu’il s’agissait soit d’une attaque de la chaîne d’approvisionnement, soit d’une attaque de l’adversaire au milieu (AITM), mais n’étaient pas en mesure de déterminer la méthode d’attaque exacte.