Les organisations de recherche sur les matériaux en Asie ont été ciblées par un acteur malveillant jusque-là inconnu utilisant un ensemble d’outils distinct.
Symantec, de Broadcom Software, suit le cluster sous le nom de Clasiopa. Les origines du groupe de piratage et ses affiliations sont actuellement inconnues, mais il y a des indices qui suggèrent que l’adversaire pourrait avoir des liens avec l’Inde.
Cela inclut les références à « SAPTARISHI-ATHARVAN-101 » dans une porte dérobée personnalisée et l’utilisation du mot de passe « iloveindea1998^_^ » pour une archive ZIP.
Il convient de noter que Saptarishi, qui signifie « Sept sages » en sanskrit, fait référence à un groupe de voyants vénérés dans la littérature hindoue. Atharvan était un ancien prêtre hindou et aurait co-écrit l’un des quatre Vedas, une collection d’écritures religieuses dans l’hindouisme.
« Bien que ces détails puissent suggérer que le groupe est basé en Inde, il est également fort probable que les informations aient été placées sous de fausses bannières, le mot de passe en particulier semblant être un indice trop évident », a déclaré Symantec dans un rapport partagé avec breachtrace.
Les moyens exacts d’accès initial ne sont pas non plus clairs, bien que l’on soupçonne que les cyber-incursions profitent des attaques par force brute sur les serveurs connectés à Internet.
Certaines des principales caractéristiques des intrusions impliquent la suppression du moniteur système (Sysmon) et des journaux d’événements, ainsi que le déploiement de plusieurs portes dérobées, telles qu’Atharvan et une version modifiée du Lilith RAT open source, pour collecter et exfiltrer des informations sensibles.
Atharvan est en outre capable de contacter un serveur de commande et de contrôle (C&C) codé en dur pour récupérer des fichiers et exécuter des exécutables arbitraires sur l’hôte infecté.
« Les adresses C&C codées en dur vues dans l’un des échantillons analysés à ce jour concernaient la région Amazon AWS Corée du Sud (Séoul), qui n’est pas un emplacement courant pour l’infrastructure C&C », a souligné Symantec.
La divulgation intervient un jour après que la société de cybersécurité a dévoilé un autre groupe de menaces jusqu’ici non documenté, connu sous le nom d’Hydrochasma, qui a été observé ciblant des compagnies maritimes et des laboratoires médicaux en Asie.