Alors que le paysage de la menace cyber semble dominé par des acteurs liés au gouvernement de Moscou – notamment le groupe TA499 aussi connu sous le nom de Vovan et Lexus – les dernières recherches menées par Proofpoint, l’un des leaders dans les domaines de la conformité et de la cybersécurité, démontrent une recrudescence dans l’utilisation de logiciels malveillants ciblant des organisations internationales ayant des activités en Chine.

Dans les campagnes d’attaques observées par Proofpoint, les sujets et le contenu des courriels sont généralement rédigés en chinois et portent sur des thèmes liés à l’activité de l’organisme (factures, paiements, nouveaux produits). Les utilisateurs ciblés ont des noms en chinois, orthographiés avec des caractères chinois, ou des adresses électroniques d'entreprises spécifiques qui semblent correspondre aux activités des entreprises en Chine.

Les méthodes incluent notamment des tentatives de diffusion du cheval de Troie d'accès à distance (RAT, Remote Access Trojan) Sainbox :

Échantillon de courrier électronique du 17 mai 2023 envoyé par Sainbox, contenant une URL liée à un fichier zip, "26866498.exe".
S'il est exécuté, il conduit à l'installation du Sainbox RAT (Remote Access Trojan) – recherches Proofpoint

Les recherches soulignent l'expansion de l'écosystème des logiciels malveillants chinois, l'augmentation des échanges cybercriminels en chinois et l'accès désormais étendu aux ressources et aux cibles propres à la Chine. Tous ces éléments remettent sérieusement en question la domination actuelle du marché russophone de la cybercriminalité dans le paysage des menaces.

« Cette activité ne semble pas être liée à une entité unique, mais plutôt à un ensemble d’acteurs. L'apparition de ValleyRAT aux côtés des souches de logiciels malveillants plus anciennes laisse entrevoir la possibilité d'une relation entre les acteurs. Même si ces familles de logiciels malveillants ne sont pas nouvelles, les organisations ne peuvent pas se permettre de sous-estimer le risque qu'elles représentent. » expliquent les chercheurs Proofpoint.

Voici un aperçu de l’étude :

• En 2023, Proofpoint a observé plus de 30 campagnes utilisant des logiciels malveillants en chinois, tels que ValleyRAT, récemment découvert, et les anciens Sainbox RAT (une variante de Gh0stRAT) et Purple Fox.

• Presque tous les leurres sont en chinois, bien que Proofpoint ait également observé des messages en japonais ciblant des organisations dans ce pays.
• Après des années d'absence de ces logiciels malveillants dans les données de Proofpoint sur les menaces, leur apparition dans de multiples campagnes au cours des six derniers mois est remarquable.

• Ce sont plusieurs acteurs de la menace plutôt qu'un seul qui sont à l'origine de ce pic. Ces attaques semblent être motivées par des considérations financières et rien n'indique qu'elles soient soutenues par un État.

Vous trouverez l’intégralité de l’étude sur le site de Proofpoint :