- Un nouveau groupe APT aligné avec les intérêts chinois, PlushDaemon, spécialisé en cyberespionnage, vient d’être identifié par ESET Research.
- Le groupe opère principalement en détournant les mises à jour d’applications chinoises et a notamment compromis l’installeur d’un VPN sud-coréen.
- Depuis 2019, PlushDaemon cible des individus et organisations dans six pays : Chine, Taiwan, Hong Kong, Corée du Sud, États-Unis et Nouvelle-Zélande.
- Le malware est conçu pour extraire un large éventail de données des systèmes infectés.
iT-News (ESET) – Les équipes de recherche d’ESET ont mis au jour un nouveau groupe APT alignées avec la Chine, baptisée PlushDaemon. Cette découverte fait suite à une attaque de la chaîne d’approvisionnement ciblant un fournisseur de VPN sud-coréen.
Ce groupe, actif depuis 2019, mène des opérations d’espionnage dans plusieurs pays : Chine continentale, Taiwan, Hong Kong, Corée du Sud, États-Unis et Nouvelle-Zélande. Sa technique de prédilection consiste à substituer des installeurs légitimes par des versions compromises intégrant son implant malveillant SlowStepper, une porte dérobée sophistiquée comprenant plus de 30 modules.
Facundo Muñoz, chercheur chez ESET, détaille la découverte : « En mai 2024, nous avons détecté du code malveillant dans un installateur NSIS Windows proposé sur le site officiel du VPN IPany. Les utilisateurs sud-coréens qui téléchargeaient ce logiciel recevaient simultanément l’application légitime et une porte dérobée. Nous avons immédiatement alerté l’éditeur du VPN de cette compromission, ce qui a permis le retrait de l’installateur malveillant. »
L’accès initial de PlushDaemon repose sur deux stratégies principales : l’interception des mises à jour d’applications chinoises légitimes pour rediriger le trafic vers des serveurs malveillants et l’exploitation de vulnérabilités présentes dans des serveurs Web légitimes.
SlowStepper, porte dérobée exclusive à PlushDaemon, se caractérise par deux éléments distinctifs : un protocole de commande et contrôle multi-étapes utilisant le DNS et une architecture modulaire permettant le déploiement de nombreux modules d’espionnage en Python.
Les capacités de collecte de données du malware sont étendues : extraction d’informations des navigateurs, capture d’images, numérisation de documents, surveillance des applications de messagerie (notamment WeChat et Telegram), enregistrement audio et vidéo et vol d’identifiants.
Muñoz conclut : « L’arsenal d’outils développé par PlushDaemon est impressionnant, tant par sa diversité que par ses multiples versions. Bien que nouvellement identifié, ce groupe APT représente une menace sérieuse qui mérite une surveillance étroite, compte tenu de ses capacités techniques avancées. »
Pour une analyse détaillée et technique de l’ensemble d’outils de PlushDaemon, consultez l’article de blog d’ESET Research « « PlushDaemon aligné sur la Chine compromet la chaîne d’approvisionnement du service VPN coréen » sur WeLiveSecurity.com.
À propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées.
Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur… les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également.
C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
