Le groupe de piratage de l’État nord-coréen APT37 cible les journalistes, transfuges et militants des droits humains sud-coréens dans des points d’eau, des e-mails de spear-phishing et des attaques par smishing délivrant un malware appelé Chinotto capable d’infecter les appareils Windows et Android.
APT37 (alias Reaper) est actif depuis au moins 2012 et est un groupe avancé de menace persistante (APT) lié au gouvernement nord-coréen avec une grande confiance de FireEye.
D’autres sociétés de sécurité le suivent également comme StarCruft (Kaspersky Lab), Groupe123 (Cisco Talos) ou FreeMilk (Palo Alto Networks).
Le groupe est connu pour cibler historiquement des personnes présentant un intérêt pour le régime nord-coréen, notamment des journalistes, des diplomates et des employés du gouvernement.
Chinotto, le malware déployé dans leur dernière campagne découvert par les chercheurs en sécurité de Kaspersky, permet au groupe de piratage de contrôler les appareils compromis, d’espionner leurs utilisateurs via des captures d’écran, de déployer des charges utiles supplémentaires, de collecter des données d’intérêt et de les télécharger sur des serveurs contrôlés par des attaquants
Comme Kaspersky l’a découvert, cette porte dérobée a été livrée sur les appareils des victimes des mois après les intrusions initiales. Dans un cas, les pirates ont attendu jusqu’à six mois avant d’installer Chinotto, ce qui leur a permis d’exfiltrer des données sensibles de l’appareil infecté.
« Nous soupçonnons que cet hôte a été compromis le 22 mars 2021. [..] L’opérateur du malware a ensuite livré le malware Chinotto en août 2021 et a probablement commencé à exfiltrer les données sensibles de la victime », a déclaré Kaspersky.
« Sur la base de ce que nous avons trouvé sur cette victime, nous pouvons confirmer que l’opérateur du malware a collecté des captures d’écran et les a exfiltrées entre le 6 août 2021 et le 8 septembre 2021. »
Malware personnalisable
Chinotto est un malware hautement personnalisable, comme le montrent de nombreuses variantes trouvées lors de l’analyse de la campagne, parfois plusieurs charges utiles déployées sur les mêmes appareils infectés.
« Les auteurs du malware ne cessent de modifier les capacités du malware pour échapper à la détection et créer des variantes personnalisées en fonction du scénario de la victime », ont déclaré les chercheurs.
Les variantes Windows et Android du malware utilisent le même modèle de communication de commande et de contrôle et envoient les informations volées à des serveurs Web situés principalement en Corée du Sud.
Comme les variantes Android demandent des autorisations étendues sur les appareils compromis, une fois accordées, Chinotto peut les utiliser pour collecter de grandes quantités de données sensibles, y compris les contacts des victimes, les messages texte, les journaux d’appels, les informations sur l’appareil et même les enregistrements audio.
S’il trouve et vole également les informations d’identification de la victime, il permet aux opérateurs APT37 d’atteindre d’autres cibles en utilisant les informations d’identification volées par e-mail et sur les réseaux sociaux.
« Pour résumer, l’acteur a ciblé les victimes avec une probable attaque de spear-phishing pour les systèmes Windows et de smishing pour les systèmes Android. L’acteur utilise les versions exécutables Windows et les versions PowerShell pour contrôler les systèmes Windows », a conclu Kaspersky.
« Nous pouvons présumer que si l’hôte et le mobile d’une victime sont infectés en même temps, l’opérateur de malware est capable de surmonter l’authentification à deux facteurs en volant des messages SMS sur le téléphone mobile. »