Daxin Malware

Daxin est décrit comme le malware le plus avancé attribué aux acteurs de la menace soutenus par la Chine. Des détails sur la menace ont été publiés dans un rapport de chercheurs en sécurité. Selon leurs conclusions, la menace a pu rester sous le radar pendant près d'une décennie - les premiers échantillons de Daxin identifiés datent de 2013 tandis que les dernières opérations d'attaque impliquant la menace ont eu lieu en novembre 2021.

À la base, Daxin est un implant de porte dérobée qui offre aux attaquants la possibilité de mener diverses actions intrusives sur les appareils infectés. Cependant, l'objectif apparent des attaquants est la collecte de données. Les cibles choisies sont soigneusement sélectionnées parmi une gamme d'industries et de secteurs différents, y compris les télécommunications, les transports et la fabrication. Les organisations gouvernementales ont également été ciblées par Daxin. Une caractéristique commune aux entités sélectionnées est qu'elles disposent de solides protections de réseau et de cybersécurité.

Daxin est conçu pour fonctionner comme un pilote de noyau Windows. Il excelle dans l'utilisation d'une seule commande externe pour passer d'un système piraté à un autre au sein du réseau. Pour rester inaperçu, Daxin n'ouvre aucun nouveau service réseau et ne tente aucune communication qui pourrait sembler suspecte. Au lieu de cela, il détourne les services TCP/IP légitimes, tout en écoutant des modèles de trafic spécifiques qu'il peut reconnaître comme une commande valide. Il convient de souligner que presque toutes les fonctionnalités avancées de la menace étaient déjà présentes dans ses premières versions, ce qui montre l'habileté et la prévoyance de ses créateurs.