Des acteurs chinois utiliseraient des ransomwares pour cacher de l’espionnage

Selon SecureWorks, un groupe appelé Bronze Starlight, basé en Chine, serait impliqué dans des cyberattaques dans le cadre desquelles des ransomwares ont été déployés et, plus particulièrement, LockFile, AtomSilo, Rook, Night Sky et Pandora.

Bronze Starlight utilise le cheval de Troie Hui Loader, à l’instar d’un autre groupe chinois : Bronze Riverside. Mais ce dernier est présenté comme se concentrant sur le vol de propriété intellectuelle auprès d’organisations japonaises.

Pour les équipes de SecureWorks, « la victimologie, la durée de vie limitée des familles de ransomware [concernées], et l’accès à un maliciel utilisé par des groupes soutenus par un gouvernement suggèrent que la principale motivation de Bronze Starlight pourrait être plus le vol de propriété intellectuelle ou le cyberespionnage que l’appât du gain ».

Pour mémoire, c’est le 1^er janvier 2021 que le collectif MalwareHunterTeam a découvert le ransomware Night Sky, faisant état de deux victimes déjà mentionnées sur le site vitrine de la nouvelle franchise. Le système de dialogue avec les victimes avait quant à lui été mis en place quelques jours plus tôt, le 27 décembre 2020.

Dans une version mise à jour de sa note d’information sur la vulnérabilité dite Log4Shell, et référencée CVE-2021-44228, Microsoft indique, depuis le 4 janvier 2021, que des attaquants exploitent celle-ci contre des déploiements VMware Horizon accessibles directement sur Internet : « notre enquête montre que les intrusions réussies dans ces campagnes ont conduit au déploiement du ransomware Night Sky ».

Surtout, selon Microsoft, les attaques exploitant Log4Shell contre des environnements VMware Horizon affectés, et conduisant au déploiement de Night Sky, « sont réalisées par un opérateur de rançongiciel basé en Chine » et suivi sous la référence DEV-0401. Selon l’éditeur, ce dernier « a précédemment déployé plusieurs familles de ransomware, dont LockFile, AtomSilo, et Rook ».

Selon les équipes de SecureWorks, une base de code est commune à LockFile et AtomSalo, tandis qu’une seconde est partagée par Rook, Night Sky et Pandora.

Pour elles, les indices suggérant des liens avec la Chine sont nombreux. Cela commence par ceux, mentionnés antérieurement, avec PlugX et « des ressources en chinois ». Des domaines utilisés pour les communications de commande et de contrôle, des détails de certificats SSL, ou encore le recours à des polices de caractères chinoises viennent allonger la liste.

Accessoirement, les équipes de SecureWorks indiquent être intervenues, en janvier, sur un incident dans lequel Bronze Starlight était impliqué… mais le groupe chinois Bronze University était également présent.

Les opérations de cyber-espionnage sont souvent vues comme furtives et s’inscrivant dans la durée. Tout ce qu’une cyberattaque avec ransomware n’est pas. Mais les équipes de SecureWorks entrevoient toutefois un intérêt à déclencher un rançongiciel après avoir exfiltré des données sensibles : détruire les indices et détourner l’attention des enquêteurs après avoir volé les précieuses données.

Accessoirement, Flashpoint avait, à l’automne dernier, relevé l’apparition d’un nombre croissant d’acteurs sinophones sur le forum RAMP, largement fréquenté par les cyberdélinquants russophones adeptes de rançongiciels.