Les pirates informatiques APT24 liés à la Chine ont utilisé un malware précédemment non documenté appelé BadAudio dans une campagne d’espionnage de trois ans qui est récemment passée à des méthodes d’attaque plus sophistiquées.
Depuis 2022, le malware a été livré aux victimes par le biais de multiples méthodes, notamment le harponnage, la compromission de la chaîne d’approvisionnement et les attaques de points d’eau.
Évolution de la campagne
De novembre 2022 à au moins septembre 2025, APT24 a compromis plus de 20 sites Web publics légitimes de divers domaines pour injecter du code JavaScript malveillant qui sélectionnait les visiteurs d’intérêt – l’accent était exclusivement mis sur les systèmes Windows.
Des chercheurs du Google Threat Intelligence Group (GTIG) affirment que le script a identifié les visiteurs qualifiés de cibles et a chargé une fausse fenêtre contextuelle de mise à jour logicielle pour les inciter à télécharger BadAudio.
À partir de juillet 2024, APT24 a compromis à plusieurs reprises une société de marketing numérique à Taiwan qui fournit des bibliothèques JavaScript aux sites Web de ses clients.
Grâce à cette tactique, les attaquants ont injecté du code JavaScript malveillant dans une bibliothèque largement utilisée que l’entreprise distribuait et ont enregistré un nom de domaine qui usurpait l’identité d’un réseau de diffusion de contenu (CDN) légitime. Cela a permis à l’attaquant de compromettre plus de 1 000 domaines.
De fin 2024 à juillet 2025, APT24 a compromis à plusieurs reprises la même entreprise de marketing en injectant du JavaScript malveillant et obscurci dans un fichier JSON modifié, qui a été chargé par un fichier JavaScript distinct du même fournisseur.
Une fois exécuté, il a pris l’empreinte digitale de chaque visiteur du site Web et a envoyé un rapport codé en base64 au serveur des attaquants, leur permettant de décider s’ils répondraient avec l’URL de l’étape suivante.
En parallèle, à partir d’août 2024, APT24 a lancé des opérations de harponnage qui ont livré le malware BadAudio en utilisant comme leurres des courriels qui se faisaient passer pour des organisations de sauvetage d’animaux.
Dans certaines variantes de ces attaques, APT24 a utilisé des services cloud légitimes comme Google Drive et OneDrive pour la distribution de logiciels malveillants, au lieu de ses propres serveurs. Cependant, Google indique que de nombreuses tentatives ont été détectées et que les messages se sont retrouvés dans la boîte de spam.
Dans les cas observés, cependant, les courriels comprenaient des pixels de suivi pour confirmer quand les destinataires les ont ouverts.
Chargeur de logiciels malveillants BadAudio
Selon l’analyse de GTIG, le malware BadAudio est fortement obscurci pour échapper à la détection et entraver l’analyse par les chercheurs en sécurité.
Il réalise l’exécution via le détournement d’ordre de recherche de DLL, une technique qui permet à une charge utile malveillante d’être chargée par une application légitime.
« Le malware est conçu avec un aplatissement du flux de contrôle—une technique d’obscurcissement sophistiquée qui démantèle systématiquement la logique naturelle et structurée d’un programme », explique GTIG dans un rapport publié aujourd’hui.
« Cette méthode remplace le code linéaire par une série de blocs déconnectés régis par un « répartiteur » central et une variable d’état, obligeant les analystes à tracer manuellement chaque chemin d’exécution et entravant considérablement les efforts d’ingénierie inverse automatisés et manuels. »
Une fois BadAudio exécuté sur un périphérique cible, il collecte les détails de base du système (nom d’hôte, nom d’utilisateur, architecture), crypte les informations à l’aide d’une clé AES codée en dur et les envoie à une adresse de commande et de contrôle (C2) codée en dur.
Ensuite, il télécharge une charge utile chiffrée AES à partir du C2, la déchiffre et l’exécute en mémoire pour l’évasion à l’aide du chargement latéral de DLL.
Dans au moins un cas, des chercheurs de Google ont observé le déploiement de la balise Cobalt Strike via BadAudio, un cadre de test de pénétration largement utilisé.
Les chercheurs soulignent qu’ils n’ont pas pu confirmer la présence d’une balise de frappe au cobalt dans tous les cas analysés.
Il convient de noter que malgré l’utilisation de BadAudio pendant trois ans, les tactiques d’APT24 ont réussi à le garder largement inaperçu.
Sur les huit échantillons fournis par les chercheurs du GTIG dans leur rapport, seuls deux sont signalés comme malveillants par plus de 25 moteurs antivirus sur la plate-forme d’analyse VirusTotal. Le reste des échantillons, avec une date de création du 7 décembre 2022, sont détectés par jusqu’à cinq solutions de sécurité.
GTIG affirme que l’évolution d’APT24 vers des attaques plus furtives est motivée par les capacités opérationnelles de l’acteur de la menace et sa » capacité d’espionnage persistant et adaptatif. »