- Les chercheurs d'ESET ont mis au jour CloudScout, un nouvel arsenal de cyber espionnage déployé par le groupe Evasive Panda, aligné avec les intérêts de la Chine.
- L'outil exploite des cookies dérobés via les plugins MgBot pour accéder aux données stockées sur les services cloud (Google Drive, Gmail, Outlook).
- Trois modules ont été identifiés à ce jour, mais les chercheurs estiment qu'au moins sept autres existent.
- Opérationnel entre 2022 et 2023, CloudScout a ciblé une institution religieuse et une entité gouvernementale à Taïwan.
Les chercheurs d'ESET ont identifié un nouvel arsenal d'outils baptisé CloudScout, utilisé par le groupe Evasive Panda lié à la Chine pour des opérations de cyber espionnage. Ces outils permettent d'accéder illégalement aux données stockées sur des services cloud comme Google Drive, Gmail et Outlook. Entre 2022 et 2023, CloudScout a ciblé une organisation gouvernementale et une institution religieuse à Taïwan, exploitant des cookies de session Web dérobés.
Evasive Panda a mis en œuvre trois modules .NET inédits pour infiltrer les services cloud publics en détournant des sessions Web authentifiées. La technique consiste à extraire les cookies des bases de données des navigateurs, pour accéder aux services cloud via des requêtes Web spécifiques. Cette méthode, qui utilise directement la machine de la victime, contourne les dispositifs de sécurité traditionnels comme l'authentification multi-facteurs et le suivi de l’adresse IP. CloudScout fonctionne comme un plugin de la porte dérobée MgBot. Les requêtes Web découvertes sont spécifiquement configurées pour cibler les utilisateurs taïwanais.
La chronologie des attaques révèle qu'en mai 2022, une institution religieuse taïwanaise a été compromise par MgBot et Nightdoor, permettant le déploiement de CloudScout. En février 2023, ces outils ont été détectés au sein d'une probable entité gouvernementale taïwanaise.
Les modules CloudScout simulent une navigation utilisateur classique après authentification. Ils utilisent des requêtes Web prédéfinies et des analyseurs HTML sophistiqués pour identifier et extraire les données sensibles. Le processus s'achève par une phase d'exfiltration suivie d'un nettoyage minutieux, ne laissant que les fichiers destinés à être dérobés. Le module peut ensuite s'arrêter ou attendre de nouvelles instructions via un fichier de configuration.
D'après Anh Ho, chercheur chez ESET qui a découvert CloudScout, « la sophistication de cet outil témoigne des capacités techniques avancées d'Evasive Panda et souligne l'importance stratégique des données cloud dans leurs opérations d'espionnage. »
Evasive Panda (aussi connu comme BRONZE HIGHLAND, Daggerfly ou StormBamboo) opère depuis 2012. Ce groupe de cyberespionnage cible principalement les opposants aux intérêts chinois : diaspora tibétaine, institutions religieuses et académiques à Taïwan et Hong Kong, militants pro-démocratie. Les activités de ce groupe s'étendent également au Vietnam, au Myanmar et en Corée du Sud. Le groupe se distingue par ses méthodes d'attaque variées, incluant des compromissions de chaîne d'approvisionnement, des attaques de points d'eau et des détournements de DNS.
Pour une analyse détaillée et une description technique de CloudScout, consultez le dernier article de blog d'ESET Research "CloudScout : Espionnage évasif des services cloud de Panda” sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : jolya.c@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.