Un syndicat de la cybercriminalité jusqu’alors inconnu nommé « Bigpanzi » gagne beaucoup d’argent en infectant les décodeurs Android TV et eCos dans le monde entier depuis au moins 2015.
Qianxin Xlabs, basé à Pékin, rapporte que le groupe de menaces contrôle un botnet à grande échelle d’environ 170 000 robots actifs quotidiennement. Cependant, les chercheurs ont vu 1,3 million d’adresses IP uniques associées au botnet depuis août, la plupart au Brésil.
Bigpanzi infecte les appareils via des mises à jour de micrologiciels ou des applications backdoor que les utilisateurs sont amenés à installer eux-mêmes, comme le souligne un rapport de septembre 2023 de Dr.Web.
Les cybercriminels monétisent ces infections en transformant les appareils en nœuds pour les plateformes de streaming multimédia illégales, les réseaux de proxy de trafic, les essaims de déni de service distribué (DDoS) et la fourniture de contenu OTT.
Le malware personnalisé de Bigpanzi
Le rapport de Xlabs se concentre sur « pandoran spear » et « pcdna », deux outils malveillants utilisés par Bigpanzi dans leurs opérations.
Pandora spear agit comme un cheval de Troie de porte dérobée, détournant les paramètres DNS, établissant une communication de commande et de contrôle (C2) et exécutant les commandes reçues du serveur C2.
Le malware prend en charge une variété de commandes qui lui permettent de manipuler les paramètres DNS, de lancer des attaques DDoS, de se mettre à jour, de créer des shells inversés, de gérer sa communication avec le C2 et d’exécuter des commandes arbitraires du système d’exploitation.
Pandora spear utilise des techniques sophistiquées telles que le shell UPX modifié, la liaison dynamique, la compilation LLVM et les mécanismes anti-débogage pour échapper à la détection.
Pcdn est utilisé pour créer un réseau de distribution de contenu (CDN) peer-to-peer (P2P) sur des appareils infectés et possède des capacités DDoS pour armer les appareils.
Échelle des opérations
Xlabs a eu un aperçu de l’ampleur du botnet après avoir détourné deux domaines C2 utilisés par les attaquants et mené une observation de sept jours.
Les analystes rapportent que le botnet Bigpanzi compte 170 000 démarrages quotidiens aux heures de pointe et a observé plus de 1,3 million d’adresses IP distinctes depuis août.
Cependant, en raison du fait que les boîtiers TV compromis ne sont pas simultanément actifs à tout moment et des limites de visibilité des analystes en cybersécurité, il est considéré inévitable que la taille du botnet soit plus grande.
« Au cours des huit dernières années, Bigpanzi a opéré secrètement, amassant silencieusement des richesses dans l’ombre », lit-on dans le rapport de Xlabs.
« Avec la progression de leurs opérations, il y a eu une prolifération importante d’échantillons, de noms de domaine et d’adresses IP. »
« Face à un réseau aussi vaste et complexe, nos résultats ne représentent que la pointe de l’iceberg en termes de ce que Bigpanzi englobe. »
Des artefacts dans l’échantillon pcdn analysé ont conduit les chercheurs chinois à une chaîne YouTube suspecte contrôlée par une entreprise.
Cependant, le rapport Xlabs n’a pas encore divulgué de détails d’attribution, les réservant vraisemblablement aux autorités répressives applicables.