- ESET Research met à nu l'opération Jacana, une campagne de cyberespionnage ciblée contre une entité gouvernementale de la République coopérative de Guyana.
- Après la compromission initiale via des e-mails de spearphishing (harponnage), les attaquants se sont propagés dans le réseau informatique de l’entité victime.
- Pour extraire des données sensibles, les opérateurs ont utilisé une porte dérobée non documentée que nous avons nommée DinodasRAT.
- Les attaquants ont également déployé Korplug, ce qui a conduit ESET à soupçonner que les opérateurs sont alignés sur les intérêts de la Chine.
- Sur la base des courriels utilisés pour obtenir un accès initial au réseau de la victime, les opérateurs surveillent les activités politiques de la République coopérative de Guyana.
Les chercheurs d'ESET ont découvert une campagne de cyberespionnage contre une entité gouvernementale en République coopérative de Guyana. Baptisée Opération Jacana par ESET, nous croyons avec une confiance moyenne qu'elle est liée à un groupe d’attaquants aligné sur les intérêts de la Chine. Dans l'attaque, les opérateurs ont utilisé une porte dérobée non documentée auparavant, DinodasRAT (cheval de Troie d'accès à distance), qui peut exfiltrer des fichiers, manipuler des clés de registre Windows et exécuter des commandes, et il chiffre les informations qu'il envoie au serveur de commande et de contrôle (C & C) en utilisant l'algorithme de chiffrement Tiny Encryption Algorithm.
Cette campagne est extrêmement ciblée car les acteurs de la menace ont conçu leurs courriels spécifiquement pour leurrer cette organisation. Après avoir réussi à compromettre un petit nombre de machines avec DinodasRAT, les opérateurs ont poursuivi leur attaque à l'intérieur du réseau informatique de la cible, où ils ont de nouveau déployé cette porte dérobée. Celle-ci permet à l’attaquant d'espionner et de collecter des informations sensibles contenues sur l'ordinateur des victimes. D'autres outils malveillants, tels qu'une variante de Korplug (alias PlugX), ont également été déployés.
Korplug est commun aux groupes alignés sur la Chine, par exemple le groupe Mustang Panda. L'attribution à un acteur de menace aligné sur la Chine n'est faite qu'avec un niveau de confiance moyen. Cette attribution est également étayée par l'évolution récente des relations diplomatiques entre la République coopérative de Guyana et la Chine. En février 2023, au moment même de l'opération Jacana, l'Unité spéciale du crime organisé du Guyana (SOCU) a arrêté trois personnes dans le cadre d'une enquête sur une opération de blanchiment d'argent impliquant des entreprises chinoises. Un acte contesté par l'ambassade chinoise locale.
Le contenu des courriels de spearphishing adressés aux victimes relataient des affaires publiques et politiques guyanaises récentes, indiquant que les attaquants surveillaient les activités (géo)politiques de leurs victimes afin d'augmenter les chances de succès de l'opération. Un courriel, attirant les victimes avec des nouvelles concernant un « fugitif guyanais au Vietnam », contenait un domaine se terminant par gov.vn. « Ce domaine pointe vers un site Web du gouvernement vietnamien ; ainsi, nous pensons que les opérateurs ont pu compromettre une entité gouvernementale vietnamienne et utiliser son infrastructure pour héberger des logiciels malveillants. Les chercheurs d'ESET ont informé le VNCERT de l'infrastructure compromise », explique Fernando Tavella, chercheur d'ESET, qui a découvert l'opération Jacana.
Les chercheurs d'ESET ont nommé la porte dérobée DinodasRAT en fonction de l'identifiant de victime qu'elle envoie à son serveur C&C : la chaîne commence toujours par Din, ce qui nous rappelle le hobbit Dinodas du Seigneur des Anneaux de J.R.R. Tolkien. D'autre part, les jacanas caroncule sont des oiseaux originaires de Guyana ; Ils portent de grandes griffes aux pieds, ce qui leur permet de marcher sur des plantes flottantes des lacs qu'ils habitent.
Pour plus d'informations techniques sur l'opération Jacana et la porte dérobée DinodasRAT, consultez l'article de blog « Operation Jacana : Foundling hobbits in Guyana » sur WeLiveSecurity. ESET Research publie régulièrement sur Twitter (aujourd'hui connu sous le nom de X) pour les dernières nouvelles d'ESET Research.
Flux de compromis de l'opération Jacana
Laura PACCAGNELLA - +33 01 55 89 08 88 - laura.p@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.