Logiciel malveillant BADAUDIO
La vigilance en matière de cybersécurité demeure essentielle, car les acteurs malveillants perfectionnent sans cesse leurs tactiques et stratégies. Un groupe lié à la Chine, connu sous le nom d'APT24, déploie un logiciel malveillant jusqu'alors inconnu, appelé BADAUDIO, afin de maintenir un accès permanent aux réseaux ciblés. Cette activité s'inscrit dans une campagne qui dure depuis près de trois ans et met en lumière les méthodes sophistiquées et adaptatives employées par les menaces persistantes avancées (APT).
Table des matières
Des attaques de grande envergure aux opérations ciblées
Initialement, APT24 s'appuyait sur des compromissions stratégiques à grande échelle du Web pour infecter des sites Web légitimes. Avec le temps, le groupe a recentré ses efforts sur un ciblage plus précis, notamment des organisations à Taïwan. Ses principales méthodes sont les suivantes :
- Attaques de la chaîne d'approvisionnement, telles que les compromissions répétées d'une entreprise régionale de marketing numérique pour diffuser des scripts malveillants.
- Campagnes de spear-phishing ciblant des individus ou des organisations spécifiques.
Le groupe APT24, également connu sous le nom de Pitty Tiger, a historiquement ciblé des secteurs tels que l'administration publique, la santé, le BTP, l'exploitation minière, les organisations à but non lucratif et les télécommunications aux États-Unis et à Taïwan. Des éléments indiquent que le groupe est actif depuis au moins 2008 et utilise des courriels d'hameçonnage contenant des documents Microsoft Office malveillants exploitant des vulnérabilités comme CVE-2012-0158 et CVE-2014-1761.
Arsenal de logiciels malveillants : des RAT à BADAUDIO
APT24 a déployé un large éventail de familles de logiciels malveillants :
- CT RAT
- M RAT (Goldsun-B), une variante d'Enfal/Lurid Downloader
- Paladin RAT et Leo RAT, variantes de Gh0st RAT
- Porte dérobée Taidoor (Roudan)
Le programme BADAUDIO, récemment découvert, se distingue par sa sophistication. Écrit en C++, il est fortement obscurci et utilise l'aplatissement du flux de contrôle pour empêcher toute rétro-ingénierie. Il agit comme un téléchargeur de première étape, capable de récupérer, déchiffrer et exécuter une charge utile chiffrée en AES depuis un serveur de commande et de contrôle (C2) intégré.
BADAUDIO fonctionne généralement comme une DLL malveillante, exploitant le détournement de l'ordre de recherche des DLL pour s'exécuter via des applications légitimes. Les variantes récentes sont distribuées sous forme d'archives chiffrées contenant des DLL ainsi que des fichiers VBS, BAT et LNK.
La campagne BADAUDIO : Techniques et exécution
La campagne BADAUDIO, en cours depuis novembre 2022, s'est appuyée sur de multiples vecteurs d'accès initiaux :
- Points d'eau
- compromis de la chaîne d'approvisionnement
- Courriels d'hameçonnage ciblé
Entre 2022 et début 2025, le groupe APT24 a compromis plus de 20 sites web légitimes en y injectant du code JavaScript qui :
- Visiteurs exclus : macOS, iOS et Android.
- Génération d'empreintes digitales uniques du navigateur à l'aide de FingerprintJS.
- Des fenêtres contextuelles s'affichaient, incitant les utilisateurs à télécharger BADAUDIO déguisé en mise à jour de Google Chrome.
En juillet 2024, le groupe a intensifié ses efforts en menant une attaque contre la chaîne d'approvisionnement via une agence de marketing digital régionale basée à Taïwan, en injectant du code JavaScript malveillant dans une bibliothèque largement diffusée. Plus de 1 000 domaines ont été touchés.
L'attaque a exploité un domaine CDN falsifié (typosquatting) pour récupérer des scripts contrôlés par l'attaquant, identifier les machines et diffuser de fausses fenêtres publicitaires. Un mécanisme de chargement conditionnel de scripts, introduit en juin 2025, permettait un ciblage précis de chaque domaine. Cependant, une brève faille en août a permis de compromettre l'ensemble des 1 000 domaines avant le rétablissement de la restriction.
Hameçonnage avancé et ingénierie sociale
Depuis août 2024, APT24 mène des campagnes d'hameçonnage très ciblées, utilisant comme appâts des organisations de protection animale. Les victimes reçoivent des archives chiffrées contenant le fichier BADAUDIO via Google Drive ou Microsoft OneDrive, avec des pixels de suivi permettant de surveiller l'interaction et d'optimiser les attaques.
La combinaison de la manipulation de la chaîne d'approvisionnement, de l'ingénierie sociale avancée et de l'abus des services cloud démontre la capacité d'APT24 à mener des activités d'espionnage persistantes et adaptatives.
Les opérations d'APT24 illustrent la complexité croissante des cybermenaces liées aux États, soulignant la nécessité pour les organisations de mettre en œuvre une surveillance de sécurité rigoureuse, de vérifier l'intégrité des logiciels et de sensibiliser le personnel aux techniques d'hameçonnage sophistiquées et aux risques liés à la chaîne d'approvisionnement.
