Les chercheurs d’ESET ont récemment découvert une nouvelle campagne menée par le groupe Winnti ciblant cette fois-ci les universités de Hong Kong. Le moteur de machine learning d’ESET a détecté un échantillon malveillant unique sur plusieurs ordinateurs appartenant à deux d’entre elles. Outre ces deux cas de compromission confirmés, ESET dispose d’indices selon lesquels au moins trois autres universités seraient concernées. Les cybercriminels avaient pour objectif de voler des informations à partir des machines des victimes. Cette campagne du groupe Winnti a eu lieu alors qu’une vague de protestation citoyenne déferlait sur Hong Kong, notamment dans les universités.
Le groupe Winnti est responsable de précédentes attaques très médiatisées contre les chaînes d’approvisionnement dans le secteur des logiciels et jeux vidéo, ainsi que d’attaques contre les secteurs de la santé et de l’enseignement. La dernière étude sur ce groupe confirme qu’il continue d’utiliser ses fameuses backdoors ShadowPad. Cependant, dans la campagne dirigée contre les universités de Hong Kong, le lanceur de ShadowPad a été remplacé par une nouvelle version simplifiée, détectée par les produits ESET sous le nom de Win32/Shadowpad.C.
« Détectés dans ces universités en novembre 2019, ShadowPad et Winnti contiennent tous deux des identifiants de campagne et des URL commande et contrôle correspondant au nom des universités, ce qui indique une attaque ciblée », explique Mathieu Tartare, chercheur ESET enquêtant sur le groupe Winnti.
« ShadowPad est une backdoor multi-modulaire et, par défaut, chaque frappe est enregistrée à l’aide du module Keylogger. L’utilisation de ce module par défaut indique que l’objectif des attaquants est de voler des informations sur les ordinateurs des victimes. En revanche, ce module n’était pas intégré dans les variantes décrites dans notre livre blanc », ajoute Mathieu Tartare.
Pour plus d’informations techniques sur la dernière découverte concernant le groupe Winnti, consultez l’article Winnti Group targeting universities in Hong Kong (Les universités de Hong Kong ciblées par le groupe Winnti) sur WeLiveSecurity.com. Par ailleurs, les chercheurs d’ESET ont récemment publié un livre blanc sur les dernières informations dont nous disposons sur l’arsenal du groupe Winnti. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.
Contact Presse:
Darina SANTAMARIA 01 86 27 00 39 darina.j@eset-nod32.fr