L’acteur de la menace persistante avancée (APT) connu sous le nom de Tonto Team a mené une attaque infructueuse contre la société de cybersécurité Group-IB en juin 2022.
La société basée à Singapour a déclaré avoir détecté et bloqué des e-mails de phishing malveillants provenant du groupe ciblant ses employés. C’est aussi la deuxième attaque visant le Groupe-IB, dont la première a eu lieu en mars 2021.
Tonto Team, également appelé Bronze Huntley, Cactus Pete, Earth Akhlut, Karma Panda et UAC-0018, est un groupe de piratage chinois présumé qui a été lié à des attaques visant un large éventail d’organisations en Asie et en Europe de l’Est.
L’acteur est connu pour être actif depuis au moins 2009 et partagerait des liens avec le Troisième Département (3PLA) du Shenyang TRB de l’Armée populaire de libération (Unité 65016).
Les chaînes d’attaque impliquent des leurres de harponnage contenant des pièces jointes malveillantes créées à l’aide de la boîte à outils d’exploitation Royal Road Rich Text Format (RTF) pour supprimer des portes dérobées telles que Bisonal, Dexbia et ShadowPad (alias PoisonPlug).
« Une méthode légèrement différente […] utilisée par cet acteur de la menace dans la nature est l’utilisation d’adresses e-mail d’entreprise légitimes, très probablement obtenues par hameçonnage, pour envoyer des e-mails à d’autres utilisateurs », a révélé Trend Micro en 2020. « L’utilisation de ces e-mails légitimes augmente les chances que les victimes cliquent sur la pièce jointe, infectant leurs machines avec des logiciels malveillants. »
Le collectif contradictoire, en mars 2021, est également apparu comme l’un des acteurs de la menace pour exploiter les failles ProxyLogon dans Microsoft Exchange Server pour frapper les sociétés de cybersécurité et d’approvisionnement basées en Europe de l’Est.
Coïncidant avec l’invasion militaire russe de l’Ukraine l’année dernière, l’équipe Tonto a été observée ciblant des entreprises scientifiques et techniques russes et des agences gouvernementales avec le malware Bisonal.
La tentative d’attaque contre Group-IB n’est pas différente en ce sens que l’acteur de la menace a exploité les e-mails de phishing pour distribuer des documents Microsoft Office malveillants créés avec le militariseur Royal Road pour déployer Bisonal.
« Ce malware fournit un accès à distance à un ordinateur infecté et permet à un attaquant d’exécuter diverses commandes dessus », ont déclaré les chercheurs Anastasia Tikhonova et Dmitry Kupin dans un rapport partagé avec breachtrace.
Également utilisé est un téléchargeur précédemment non documenté appelé QuickMute par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA), qui est principalement responsable de la récupération des logiciels malveillants de la prochaine étape à partir d’un serveur distant.
« Les principaux objectifs des APT chinois sont l’espionnage et le vol de propriété intellectuelle », ont déclaré les chercheurs. « Sans aucun doute, Tonto Team continuera à sonder les entreprises informatiques et de cybersécurité en tirant parti du harponnage pour fournir des documents malveillants en utilisant des vulnérabilités avec des leurres spécialement préparés à cet effet. »