Cyberespionnage : Un groupe APT chinois cible les industries sud-coréennes via un logiciel VPN compromis

ESET a révélé une opération sophistiquée de cyberespionnage menée en 2023 par PlushDaemon, un groupe APT précédemment non documenté, ciblant principalement les industries sud-coréennes via la compromission d'un logiciel VPN légitime. L'attaque s'est manifestée par l'infection des fichiers d'installation du VPN IPany avec un backdoor nommé SlowStepper, affectant notamment les secteurs des semi-conducteurs et du logiciel en Corée du Sud, ainsi que des entités en Chine et au Japon.

Le malware SlowStepper, particulièrement sophistiqué, intègre plus de 30 modules permettant une surveillance extensive et une collecte de données approfondie, notamment via des capacités d'enregistrement audio/vidéo et de reconnaissance réseau. La compromission de la chaîne d'approvisionnement s'est opérée par le remplacement des mises à jour légitimes par des versions trojannisées, utilisant des méthodes de communication avancées comme les requêtes DNS pour la connexion aux serveurs de commande et contrôle. Les chercheurs d'ESET ont confirmé l'attribution de cette opération à PlushDaemon, un groupe lié à la Chine actif depuis 2019, dont l'arsenal comprend des outils développés en C++, Python et Go.

Le malware démontre des capacités étendues d'exploitation, incluant la collecte de données système et utilisateur, l'exécution de commandes via des modules Python, et l'utilisation détournée d'outils légitimes pour maintenir la discrétion opérationnelle. Cette attaque souligne l'importance cruciale de la sécurisation des chaînes d'approvisionnement logicielles et de la surveillance proactive des menaces, particulièrement face à des acteurs malveillants sophistiqués ciblant les industries critiques. Bien que la menace immédiate ait été neutralisée après notification au développeur d'IPany, cet incident met en lumière la persistance et la sophistication croissante des campagnes de cyberespionnage ciblées. ESET conclut en soulignant que l'étendue et la complexité de l'arsenal de PlushDaemon en font une menace significative à surveiller, malgré sa découverte récente.

Source : Infosecurity Magazine