- ESET a identifié des compromissions par FamousSparrow visant un groupe financier américain, un institut de recherche mexicain et une institution gouvernementale hondurienne.
- FamousSparrow, groupe APT lié à la Chine, a déployé deux versions inédites de sa porte dérobée SparrowDoor.
- Ces nouvelles versions présentent des améliorations significatives et intègrent la parallélisation des commandes.
- Pour la première fois, le groupe a été observé utilisant la porte dérobée ShadowPad.
ESET Research a découvert des outils malveillants du groupe APT FamousSparrow, aligné sur la Chine, dans le réseau d'une entreprise financière américaine. Ce groupe, qu'on croyait inactif depuis 2022, a en effet développé deux nouvelles versions non documentées de sa porte dérobée principale, SparrowDoor.
Entre 2022 et 2024, ESET a identifié d'autres activités du groupe, notamment contre une institution gouvernementale hondurienne et un institut de recherche mexicain, compromis juste avant l'attaque américaine, fin juin 2024. Ces nouvelles versions de SparrowDoor montrent des améliorations significatives en termes de code, d'architecture et de fonctionnalités.
« Bien que ces nouvelles versions présentent des améliorations importantes, elles peuvent toujours être directement reliées aux versions antérieures publiquement documentées. Les chargeurs utilisés lors de ces attaques montrent également d'importantes similitudes avec des échantillons précédemment attribués à FamousSparrow », explique Alexandre Côté Cyr, chercheur chez ESET, qui a fait cette découverte.
Pour accès initial au réseau, FamousSparrow a déployé un webshell sur un serveur IIS. Les victimes utilisaient des versions obsolètes de Windows Server et Microsoft Exchange vulnérables à plusieurs exploits. L'attaquant a combiné des outils personnalisés avec des logiciels malveillants partagés par d'autres groupes APT alignés sur la Chine, et des outils publics. Les charges finales incluaient SparrowDoor et ShadowPad, avec des plugins permettant d'exécuter des commandes, manipuler des fichiers, enregistrer des frappes de clavier, transférer des données, gérer des processus et capturer des écrans.
En septembre 2024, le Wall Street Journal a rapporté que des fournisseurs d'accès Internet américains avaient été compromis par Salt Typhoon, que Microsoft considère comme étant identique à FamousSparrow et GhostEmperor.
« C'est le premier rapport public qui associe ces deux groupes. Cependant, nous considérons GhostEmperor et FamousSparrow comme deux entités distinctes. Il existe peu de similitudes entre eux, mais beaucoup de différences. Selon nos données et notre analyse des rapports accessibles au public, FamousSparrow semble être un groupe séparé avec des liens ténus avec les autres », explique M. Côté Cyr.
FamousSparrow, actif depuis au moins 2019, a été documenté par ESET en 2021 lors de l'exploitation de la vulnérabilité ProxyLogon. Initialement axé sur les hôtels, il a élargi ses cibles aux gouvernements, organisations internationales, sociétés d'ingénierie et cabinets d'avocats. C'est le seul groupe connu utilisant la porte dérobée SparrowDoor.
Pour une analyse technique de l'ensemble d'outils FamousSparrow, consultez l'article de blog d'ESET Research sur WeLiveSecurity.com.
Vue d'ensemble de la chaîne de compromission utilisée dans cette campagne FamousSparrow
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.