Le populaire groupe de cyberespionnage Lotus Panda (\u00e9galement connu sous le nom de Override Panda ou Naikon) semble avoir refait surface alors que beaucoup pensaient qu’il \u00e9tait en voie d’extinction. Le groupe serait n\u00e9 en Chine en 2010 et concentre ses attaques sur plusieurs pays du Sud-Est tels que Singapour, la Malaisie et la Tha\u00eflande.<\/p>\n\n\n\n
Naikon est devenu populaire en 2015 lorsque son logiciel malveillant a \u00e9t\u00e9 d\u00e9couvert, ce qui a entra\u00een\u00e9 l’arrestation de certains de ses membres cl\u00e9s.<\/p>\n\n\n\n
Suite \u00e0 la s\u00e9rie d’arrestations effectu\u00e9es, on pensait que le groupe s’\u00e9tait dissous. Mais plusieurs rapports ont montr\u00e9 qu’ils se sont regroup\u00e9s, et ont \u00e9t\u00e9 d\u00e9couverts en train de faire du cyber espionnage \u00e0 travers des pays comme les Philippines et l’Indon\u00e9sie.<\/p>\n\n\n\n
R\u00e9cemment, le groupe Override Panda a \u00e9t\u00e9 d\u00e9couvert en train de mener des campagnes d’espionnage sur des organisations et institutions gouvernementales en Asie du Sud-Est. Les rapports indiquent que les organisations cibl\u00e9es par le groupe sont principalement impliqu\u00e9es dans les affaires \u00e9trang\u00e8res, la science et la technologie.<\/p>\n\n\n\n
Le groupe pr\u00e9voit de mener des op\u00e9rations de cyberespionnage \u00e0 long terme<\/strong><\/p>\n\n\n\n La soci\u00e9t\u00e9 de recherche en cybers\u00e9curit\u00e9 Cluster25 a d\u00e9clar\u00e9 qu’apr\u00e8s avoir observ\u00e9 l’arsenal de piratage de Lotus Panda, il \u00e9tait \u00e9vident que le groupe pr\u00e9voyait de mener des op\u00e9rations d’espionnage et de cyberespionnage \u00e0 long terme. Il s’agit d’une pratique courante pour les groupes qui s’int\u00e9ressent aux gouvernements \u00e9trangers et \u00e0 leurs repr\u00e9sentants. Le groupe a \u00e9galement augment\u00e9 sa sophistication depuis la derni\u00e8re fois qu’il \u00e9tait actif.<\/p>\n\n\n\n Le cabinet d’\u00e9tudes a not\u00e9 que pour maximiser le r\u00e9sultat et \u00e9viter d’\u00eatre d\u00e9tect\u00e9, le groupe a modifi\u00e9 ses tactiques, techniques et proc\u00e9dures (TTP) et ses outils d’attaque. Cette mise \u00e0 niveau permet de maintenir le logiciel malveillant dans l’ordinateur de la victime plus longtemps sans \u00eatre d\u00e9tect\u00e9.<\/p>\n\n\n\n Les m\u00e9thodes d’attaque ont \u00e9galement \u00e9t\u00e9 renforc\u00e9es par l’envoi, au cours des derniers mois, d’e-mails de spear-phishing \u00e0 des institutions et organisations cibl\u00e9es. Le groupe a \u00e9t\u00e9 d\u00e9couvert en train d’utiliser un shellcode, utilis\u00e9 par les acteurs malveillants pour d\u00e9livrer une charge utile qui peut prendre le contr\u00f4le total d’un ordinateur ou d’un appareil compromis.<\/p>\n\n\n\n Les organisations gouvernementales d’Asie du Sud-Est sont des cibles probables<\/strong><\/p>\n\n\n\n Bien que Cluster25 admette qu’il n’est pas confirm\u00e9 que le groupe ait cibl\u00e9 ses attaques, il affirme que la cible probable est une organisation gouvernementale.<\/p>\n\n\n\n Les chercheurs ont ajout\u00e9 que, compte tenu de l’historique des attaques men\u00e9es par le groupe, la cible est probablement une institution gouvernementale d’un pays d’Asie du Sud.<\/p>\n\n\n\n L’e-mail utilis\u00e9 par les hackers pour l’attaque de phishing est r\u00e9dig\u00e9 en Chinois et pr\u00e9tend \u00eatre une r\u00e9ponse authentique \u00e0 un appel d’offres pour l’achat d’\u00e9quipements de protection contre les incendies. Cela semble ironique, compte tenu de la v\u00e9ritable intention des hackers.<\/p>\n\n\n\n De plus, Lotus Panda a utilis\u00e9 des outils logiciels libres tels que Asset reconnaissance Lighthouse (ARL) et Viper, avec leur documentation \u00e9crite en mandarin. Par cons\u00e9quent, on pense que les codes ont \u00e9t\u00e9 d\u00e9velopp\u00e9s par un programmeur Chinois.<\/p>\n\n\n\n La r\u00e9cente campagne d\u00e9couverte par Cluster25 pr\u00e9sente la m\u00eame similitude d’attaque que les pr\u00e9c\u00e9dentes, puisqu’elle utilise des documents Microsoft Office pour commencer sa cha\u00eene d’infiltration. Viper est disponible en t\u00e9l\u00e9chargement sur GitHub et est d\u00e9crit comme un \u00ab\u00a0outil graphique de p\u00e9n\u00e9tration d’intranet\u00a0\u00bb.<\/p>\n\n\n\n \u00ab\u00a0Viper modularise et arme les tactiques et technologies couramment utilis\u00e9es dans le processus de p\u00e9n\u00e9tration d’intranet\u00a0\u00bb, note Cluster25.<\/p>\n\n\n\n La soci\u00e9t\u00e9 a ajout\u00e9 que l’ARL est un outil utilis\u00e9 pour aider les testeurs de p\u00e9n\u00e9tration ou les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 r\u00e9cup\u00e9rer des actifs afin de d\u00e9couvrir les vuln\u00e9rabilit\u00e9s et les surfaces d’attaque existantes.<\/p>\n\n\n\n Les outils sont utilis\u00e9s par les hackers lorsqu’ils veulent g\u00e9n\u00e9rer des charges utiles et obtenir plus de d\u00e9tails sur une cible via un processus connu sous le nom d’empreinte de site Web. Son cadre est similaire \u00e0 celui du populaire Cobalt Strike et comporte plus de 80 modules qui permettent l’acc\u00e8s initial et la persistance.<\/p>\n\n\n\n