Campagne malveillante du Groupe Mustang Panda

Nouvelle Campagne de Cyberespionnage du Groupe Mustang Panda APT: Entités Vietnamiennes Ciblées.

Le 10 juin 2024, Cyble Research and Intelligence Labs (CRIL) a publié une analyse approfondie révélant une nouvelle campagne de cyberespionnage menée par le groupe Mustang Panda APT, supposément lié à la Chine.

Cette campagne cible spécifiquement des entités vietnamiennes et utilise des techniques sophistiquées pour infiltrer et exfiltrer des informations sensibles.

Techniques de Cyberespionnage Utilisées

  • Fichiers de Raccourci Windows (LNK) : Le groupe Mustang Panda a été identifié utilisant des fichiers de raccourci Windows (LNK) pour initier leurs attaques. Ces fichiers LNK, apparemment inoffensifs, sont en réalité des vecteurs malveillants qui déclenchent l’exécution de scripts nuisibles dès qu’ils sont ouverts par l’utilisateur.
  • Abus d’Outils Légitimes : L’une des techniques notables de cette campagne est l’abus d’outils légitimes du système Windows pour mener des activités malveillantes. Notamment, l’outil forfiles.exe est utilisé pour exécuter des fichiers HTA (HTML Application) malveillants hébergés sur des serveurs distants. Cette méthode permet aux attaquants de dissimuler leurs activités en se fondant dans les opérations normales du système.
  • Utilisation de PowerShell, VBScript et Fichiers Batch : Les scripts PowerShell, VBScript et les fichiers batch jouent un rôle central dans cette campagne, facilitant l’exécution continue des opérations malveillantes. PowerShell, en particulier, est souvent utilisé par les cybercriminels pour ses capacités d’automatisation et son intégration profonde dans les systèmes Windows.
  • Techniques de Chargement Latéral et Exécution de DLL Malveillantes : Une autre méthode sophistiquée employée par Mustang Panda est le chargement latéral à l’aide de rundll32 et de DLL (Dynamic-Link Library). Cette technique permet d’exécuter des DLL malveillantes sur les systèmes victimes, contournant ainsi certaines mesures de sécurité et permettant un accès persistant aux systèmes compromis.

Autres Campagnes Malveillantes de Mustang Panda

  • Campagne Contre les Groupes de Réflexion Américains : En avril 2017, des chercheurs de CrowdStrike Falcon Intelligence ont identifié un groupe de menaces avancées (TA) non attribué auparavant, ciblant un groupe de réflexion basé aux États-Unis et présentant des liens avec la Chine. Cette attribution initiale a jeté les bases pour comprendre les modes opératoires et les cibles du groupe.
  • Campagne de 2020 Ciblant l’Union Européenne : En 2020, Mustang Panda a mené une campagne ciblant des institutions de l’Union européenne. Les attaquants ont utilisé des documents malveillants se faisant passer pour des rapports officiels de l’UE, infectant les systèmes des victimes via des macros intégrées. Cette campagne a mis en lumière l’intérêt du groupe pour les informations politiques et économiques sensibles.
  • Campagne de 2021 Contre l’Asie du Sud-Est : En 2021, une campagne visant plusieurs pays d’Asie du Sud-Est a été découverte. Mustang Panda a utilisé des leurres liés à la pandémie de COVID-19 pour tromper les utilisateurs et les inciter à ouvrir des fichiers malveillants. Les attaquants ont employé des techniques de phishing sophistiquées, combinant des emails de spear-phishing avec des documents Word infectés.
  • Campagne de 2022 Contre les ONG et les Droits de l’Homme : En 2022, le groupe a ciblé des ONG et des organisations de défense des droits de l’homme. Utilisant des emails de spear-phishing contenant des liens vers des sites web compromis, les attaquants ont pu installer des logiciels espions sur les machines des victimes, obtenant ainsi un accès non autorisé à des informations sensibles.

Conclusion

La campagne actuelle de Mustang Panda démontre une escalade dans la sophistication des techniques de cyberespionnage. Elle met en lumière la capacité du groupe à abuser des outils légitimes et à utiliser des méthodes complexes pour infiltrer des systèmes sensibles. Les entités vietnamiennes sont les cibles immédiates, mais la portée et les implications de ces activités pourraient être bien plus vastes, soulignant l’importance d’une vigilance continue et de mesures de cybersécurité renforcées.

La découverte de cette campagne par Cyble Research and Intelligence Labs est cruciale pour alerter les entités potentielles visées et pour renforcer les défenses contre de telles menaces persistantes et évolutives. Les campagnes passées de Mustang Panda montrent une stratégie bien établie et une expertise dans la réalisation d’opérations de cyberespionnage sophistiquées, ciblant diverses régions et secteurs à travers le monde.

A propos de l'auteur

Retour en haut