EvilBamboo : une campagne de cyber-espionnage qui ratisse large

Les chercheurs de Volexity Callum Roxan, Paul Rascagnères et Tom Lancaster, viennent de profiter de l’édition 2023 de la conférence LabsCon pour présenter leurs dernières découvertes sur les activités du groupe EvilBamboo – aussi appelé EvilEye et PoisonCarp par d’autres.

Dans un échange avec la rédaction, Paul Rascagnères rappelle que ce groupe cible notamment les communautés tibétaine, ouïghoure, et taïwanaise, ou plus généralement ceux que Pékin désigne comme les « 5 poisons ». 

Dans un billet de blog, les chercheurs expliquent : « Volexity suit les activités d’EvilBamboo depuis plus de quatre ans et a continué d’observer un ciblage de la part du groupe pendant cette période. En septembre 2019, Volexity a décrit le déploiement d’un framework de reconnaissance et d’un logiciel malveillant Android personnalisé ciblant à la fois les communautés ouïghoure et tibétaine ». Quelques mois plus tard, Volexity relevait l’utilisation d’un « exploit iOS pour infecter les utilisateurs ouïghours avec un logiciel malveillant personnalisé ». Et EvilBamboo ne s’est pas arrêté. 

Selon les chercheurs, le groupe continue de développer activement trois familles de maliciels pour Android, BadBazaar, BadSignal, et BadSolar : « les campagnes sont très larges, visant une communauté au sens large, et pas seulement des individus ». 

C’est surtout Android qui est donc visé, en s’appuyant notamment sur des applications légitimes repackagées, qu’il s’agisse d’en proposer des versions gratuites – alors qu’elles sont payantes… – ou d’ajouter le support d’une langue locale non supportée nativement : « prières, dictionnaires, jeux… l’éventail est très large », explique Paul Rascagnères. 

Ces applications sont promues via les réseaux sociaux, notamment Reddit, avec une poignée de comptes utilisateurs qui assurent des promotions croisées. Les applicatifs, sous forme de fichiers APK, sont essentiellement partagés via Telegram. 

Là, EvilBamboo s’appuie sur deux types de salons : ceux qui ont été créés par le groupe pour distribuer les applications piégées, et des salons légitimes, non malveillants, dans lesquels le groupe va, plus ou moins régulièrement, partager une publication de l’un de ses propres salons. À cela s’ajoutent aussi Twitter, Instagram ou encore YouTube.

Paul Rascagnères cite notamment l’application de randonnée très populaire AlpineQuest, pour laquelle est proposée une traduction en tibétain. Là, des membres d’un salon tout à fait légitime se retrouvent à faire, eux-mêmes, la promotion de l’application des attaquants : « il y a tout un écosystème d’utilisateurs innocents qui participent, sans le savoir, à cette promotion ».

Pour quelques applications, à l’instar de clones de Signal et de Telegram, EvilBamboo ajoute non seulement une porte dérobée, mais aussi des capacités de surveillance, notamment via les fonctionnalités permettant de lier l’application mobile à celle pour poste de travail. Cela passe par un code QR, traité de manière silencieuse, sans que la victime s’en aperçoive. 

Le groupe espion maintient également des sites d’information malveillants. Par le passé, il a utilisé du code JavaScript pour pousser des exploits de vulnérabilités inédites. Et l’infrastructure apparaît prête pour supporter iOS : le framework utilisé a, un temps, exposé la documentation complète pour l’API utilisée. Et celle-ci fait ressortir des capacités d’extraction de données sur les terminaux iOS. Las, Volexity n’a pas encore réussi à obtenir l’exploit correspondant.

Les équipes de Volexity ont alerté CitizenLab, Eset, Apple, plusieurs CERT et ONG.