Un récent rapport de la société de cybersécurité américaine Secureworks révèle qu’un groupe de cybercriminels armés par la Chine, Mustang Panda, a lancé une campagne d’espionnage contre la Russie. Le malware préféré du groupe, PlugX, a été repéré à plusieurs reprises ces derniers temps.
A bien y réfléchir, la nouvelle n’a rien de très étonnant. Même si la Chine et la Russie peuvent sembler alliés sur un certains nombres de sujet, notamment de par leur opposition commune aux États-Unis, ils sont également concurrents dans de nombreux domaines – et rien n’a jamais empêché un État d’espionner ses alliés, n’est-ce pas ?
Secureworks révèle une campagne d’espionnage de la Chine, visant la Russie
La société de cybersécurité américaine Secureworks vient ainsi de publier un rapport, ce 27 avril 2022, qui montre qu’une campagne d’hameçonnage visant des responsables russes pouvait probablement être attribué à un groupe de cybercriminels chinois, baptisé Mustang Panda (également désigné par les noms de HoneyMyte et de Bronze President).
Les serveurs utilisés par les assaillants sont en effet les mêmes que ceux de précédentes attaques attribuées à ce groupe. Dans le détail, les cybercriminels ont envoyé à des responsables russes des documents officiels publiés par l’Union Européenne contenant des détails sur les sanctions en cours contre la Biélorussie.
Ces fichiers ressemblent à des PDF, et peuvent s’ouvrir comme des PDF, mais ils dissimulent un fichier exécutable Windows en .exe, contenant une version mise à jour de PlugX, le cheval de Troie du groupe. Les fichiers portent par ailleurs le nom d’une ville russe, Blagoveshchensk, proche de la frontière avec la Chine. Selon Secureworks, « le nom du fichier a été choisi pour cibler des fonctionnaires ou des militaires connaissant bien la région ».
Une vaste campagne d’espionnage chinoise est-elle en cours ?
« La guerre entre la Russie et l’Ukraine a incité de nombreux pays à déployer leurs compétences en cyber pour mieux comprendre les machinations politiques et les motivations. Ce désir de connaissance de la situation s’étend à la collecte d’informations sensibles auprès des amis », détaillent les experts en cybersécurité.
Ce mode opératoire est caractéristique de Mustang Panda : actif depuis 2018, le groupe utilise régulièrement ce PlugX. Mais des variants de ce cheval de Troie ont été repérés dans des attaques contre des acteurs étatiques, le mois dernier, lors d’opérations de détection menée par Proofpoint et ESET.
De quoi laisser supposer que la Chine mène actuellement une vaste campagne d’espionnage…