ESET Research découvre CloudScout, un nouvel arsenal d'espionnage exfiltrant des données des services cloud

  • Les chercheurs d'ESET ont mis au jour CloudScout, un nouvel arsenal de cyber espionnage déployé par le groupe Evasive Panda, aligné avec les intérêts de la Chine.
  • L'outil exploite des cookies dérobés via les plugins MgBot pour accéder aux données stockées sur les services cloud (Google Drive, Gmail, Outlook).
  • Trois modules ont été identifiés à ce jour, mais les chercheurs estiment qu'au moins sept autres existent.
  • Opérationnel entre 2022 et 2023, CloudScout a ciblé une institution religieuse et une entité gouvernementale à Taïwan.

Les chercheurs d'ESET ont identifié un nouvel arsenal d'outils baptisé CloudScout, utilisé par le groupe Evasive Panda lié à la Chine pour des opérations de cyber espionnage. Ces outils permettent d'accéder illégalement aux données stockées sur des services cloud comme Google Drive, Gmail et Outlook. Entre 2022 et 2023, CloudScout a ciblé une organisation gouvernementale et une institution religieuse à Taïwan, exploitant des cookies de session Web dérobés.

Evasive Panda a mis en œuvre trois modules .NET inédits pour infiltrer les services cloud publics en détournant des sessions Web authentifiées. La technique consiste à extraire les cookies des bases de données des navigateurs, pour accéder aux services cloud via des requêtes Web spécifiques. Cette méthode, qui utilise directement la machine de la victime, contourne les dispositifs de sécurité traditionnels comme l'authentification multi-facteurs et le suivi de l’adresse IP. CloudScout fonctionne comme un plugin de la porte dérobée MgBot. Les requêtes Web découvertes sont spécifiquement configurées pour cibler les utilisateurs taïwanais.

La chronologie des attaques révèle qu'en mai 2022, une institution religieuse taïwanaise a été compromise par MgBot et Nightdoor, permettant le déploiement de CloudScout. En février 2023, ces outils ont été détectés au sein d'une probable entité gouvernementale taïwanaise.

Les modules CloudScout simulent une navigation utilisateur classique après authentification. Ils utilisent des requêtes Web prédéfinies et des analyseurs HTML sophistiqués pour identifier et extraire les données sensibles. Le processus s'achève par une phase d'exfiltration suivie d'un nettoyage minutieux, ne laissant que les fichiers destinés à être dérobés. Le module peut ensuite s'arrêter ou attendre de nouvelles instructions via un fichier de configuration.

D'après Anh Ho, chercheur chez ESET qui a découvert CloudScout, « la sophistication de cet outil témoigne des capacités techniques avancées d'Evasive Panda et souligne l'importance stratégique des données cloud dans leurs opérations d'espionnage. »

Evasive Panda (aussi connu comme BRONZE HIGHLAND, Daggerfly ou StormBamboo) opère depuis 2012. Ce groupe de cyberespionnage cible principalement les opposants aux intérêts chinois : diaspora tibétaine, institutions religieuses et académiques à Taïwan et Hong Kong, militants pro-démocratie. Les activités de ce groupe s'étendent également au Vietnam, au Myanmar et en Corée du Sud. Le groupe se distingue par ses méthodes d'attaque variées, incluant des compromissions de chaîne d'approvisionnement, des attaques de points d'eau et des détournements de DNS.

Pour une analyse détaillée et une description technique de CloudScout, consultez le dernier article de blog d'ESET Research "CloudScout : Espionnage évasif des services cloud de Panda” sur WeLiveSecurity.com.

Contact Presse :

Laura PACCAGNELLA : +33 01 55 89 08 88 -  laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Instagram.