Les cyberespions s’infectent avec leurs propres logiciels malveillants

Cyberspies infect themselves

Après s’être infecté avec son propre cheval de Troie d’accès à distance (RAT), un groupe de cyberespionnage lié à l’Inde a accidentellement exposé ses opérations à des chercheurs en sécurité.

L’acteur menaçant est actif depuis au moins décembre 2015 et est suivi en tant que PatchWork (alias Dropping Elephant, Chinastrats ou Quilted Tiger) en raison de la utilisation de code copié-collé.

Au cours de la campagne la plus récente de PatchWork, entre fin novembre et début décembre 2021, Malwarebytes Labs a observé les acteurs de la menace utilisant des documents RTF malveillants se faisant passer pour les autorités pakistanaises pour infecter des cibles avec une nouvelle variante du BADNEWS RAT, connue sous le nom de Ragnatela.

Le Ragnatela RAT permet aux acteurs de la menace d’exécuter des commandes, de capturer des instantanés d’écran, de consigner les frappes au clavier, de récolter des fichiers sensibles et une liste d’applications en cours d’exécution, de déployer des charges utiles supplémentaires et de télécharger des fichiers.

« Ironiquement, toutes les informations que nous avons recueillies ont été possibles grâce au fait que l’acteur de la menace s’est infecté avec son propre RAT, ce qui a entraîné la capture de frappes au clavier et des captures d’écran de son propre ordinateur et de ses machines virtuelles » L’équipe Threat Intelligence de Malwarebytes Labs expliquée.

Après avoir découvert que les opérateurs de PatchWork infectaient leurs propres systèmes de développement avec le RAT, les chercheurs ont pu les surveiller tout en utilisant VirtualBox et VMware pour les tests et le développement Web et les tests sur des ordinateurs à double clavier (c’est-à-dire anglais et indien).

PatchWork teste le Ragnatela RAT
PatchWork teste le Ragnatela RAT (Malwarebytes LABS)

Tout en observant leurs opérations, ils ont également obtenu des informations sur les cibles que le groupe a compromises, notamment le ministère de la Défense du Pakistan et des membres du corps professoral des départements de médecine moléculaire et de sciences biologiques de plusieurs universités telles que l’Université de la défense nationale d’Islam Abad, la faculté de biochimie de l’Université UVAS. Science, l’institut de recherche Karachi HEJ et l’Université SHU.

« Grâce aux données capturées par le propre malware de l’acteur de la menace, nous avons pu mieux comprendre qui se trouve derrière le clavier », a ajouté Malwarebytes Labs.

« Le groupe utilise des machines virtuelles et des VPN pour développer, pousser les mises à jour et vérifier leurs victimes. Patchwork, comme certains autres APT d’Asie de l’Est, n’est pas aussi sophistiqué que leurs homologues russes et nord-coréens.

Les opérateurs PatchWork ont ​​déjà des groupes de réflexion américains ciblés en mars 2018 dans plusieurs campagnes de spear-phishing utilisant la même tactique consistant à pousser des fichiers RTF malveillants pour compromettre les systèmes de leurs victimes et une variante de malware QuasarRAT.

Deux mois plus tôt, en janvier 2018, ils ont été observés poussant des documents armés délivrant des logiciels malveillants BADNEWS dans des attaques contre des cibles du sous-continent indien.

Ils étaient également à l’origine d’une campagne de spear-phishing ciblant employés d’une organisation gouvernementale européenne fin mai 2016.