- Un nouveau groupe APT aligné avec les intérêts chinois, PlushDaemon, spécialisé en cyberespionnage, vient d'être identifié par ESET Research.
- Le groupe opère principalement en détournant les mises à jour d'applications chinoises et a notamment compromis l'installeur d'un VPN sud-coréen.
- Depuis 2019, PlushDaemon cible des individus et organisations dans six pays : Chine, Taiwan, Hong Kong, Corée du Sud, États-Unis et Nouvelle-Zélande.
- Le malware est conçu pour extraire un large éventail de données des systèmes infectés.
Les équipes de recherche d'ESET ont mis au jour un nouveau groupe APT alignées avec la Chine, baptisée PlushDaemon. Cette découverte fait suite à une attaque de la chaîne d'approvisionnement ciblant un fournisseur de VPN sud-coréen. Ce groupe, actif depuis 2019, mène des opérations d'espionnage dans plusieurs pays : Chine continentale, Taiwan, Hong Kong, Corée du Sud, États-Unis et Nouvelle-Zélande. Sa technique de prédilection consiste à substituer des installeurs légitimes par des versions compromises intégrant son implant malveillant SlowStepper, une porte dérobée sophistiquée comprenant plus de 30 modules.
Facundo Muñoz, chercheur chez ESET, détaille la découverte : « En mai 2024, nous avons détecté du code malveillant dans un installateur NSIS Windows proposé sur le site officiel du VPN IPany. Les utilisateurs sud-coréens qui téléchargeaient ce logiciel recevaient simultanément l'application légitime et une porte dérobée. Nous avons immédiatement alerté l'éditeur du VPN de cette compromission, ce qui a permis le retrait de l'installateur malveillant. »
L'accès initial de PlushDaemon repose sur deux stratégies principales : l'interception des mises à jour d'applications chinoises légitimes pour rediriger le trafic vers des serveurs malveillants et l'exploitation de vulnérabilités présentes dans des serveurs Web légitimes.
SlowStepper, porte dérobée exclusive à PlushDaemon, se caractérise par deux éléments distinctifs : un protocole de commande et contrôle multi-étapes utilisant le DNS et une architecture modulaire permettant le déploiement de nombreux modules d'espionnage en Python.
Les capacités de collecte de données du malware sont étendues : extraction d'informations des navigateurs, capture d'images, numérisation de documents, surveillance des applications de messagerie (notamment WeChat et Telegram), enregistrement audio et vidéo et vol d'identifiants.
Muñoz conclut : « L'arsenal d'outils développé par PlushDaemon est impressionnant, tant par sa diversité que par ses multiples versions. Bien que nouvellement identifié, ce groupe APT représente une menace sérieuse qui mérite une surveillance étroite, compte tenu de ses capacités techniques avancées. »
Pour une analyse détaillée et technique de l'ensemble d'outils de PlushDaemon, consultez l’article de blog d'ESET Research « « PlushDaemon aligné sur la Chine compromet la chaîne d'approvisionnement du service VPN coréen » sur WeLiveSecurity.com.
Exécution de SlowStepper
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.