FINALDRAFT Porte dérobée
Le groupe de cybercriminels communément appelé Jewelbug a intensifié ses efforts contre les organisations gouvernementales européennes depuis juillet 2025, tout en maintenant des opérations actives contre des cibles en Asie du Sud-Est et en Amérique du Sud. Les chercheurs suivent ce groupe d'activité sous le nom d'Ink Dragon, également connu dans la communauté de la sécurité informatique sous les noms de CL-STA-0049, Earth Alux et REF7707. Ce groupe est considéré comme étant aligné sur la Chine et a démontré une activité soutenue depuis au moins mars 2023.
Table des matières
Identités multiples, un groupe coordonné
Les campagnes d'Ink Dragon témoignent d'une capacité d'intrusion mature et rigoureuse. Ses opérateurs allient de solides compétences en ingénierie logicielle à des procédures opérationnelles éprouvées, s'appuyant fréquemment sur les utilitaires intégrés de la plateforme pour dissimuler des activités malveillantes dans les données de télémétrie légitimes de l'entreprise. Cette méthode délibérée renforce considérablement la discrétion et complique la détection.
Portée, cibles et impact continu
La campagne est toujours en cours et a déjà fait plusieurs dizaines de victimes. Parmi les organisations touchées figurent des agences gouvernementales et des fournisseurs de télécommunications en Europe, en Asie et en Afrique. L'ampleur du nombre de victimes souligne à la fois la capacité de déploiement de l'infrastructure de l'acteur et son intérêt stratégique pour les réseaux à forte valeur ajoutée.
Visibilité précoce et principales familles de logiciels malveillants
L'existence d'Ink Dragon a été révélée au public en février 2025, lorsque des chercheurs ont documenté son utilisation de la porte dérobée FINALDRAFT, également connue sous le nom de Squidoor. Ce logiciel malveillant est compatible avec les environnements Windows et Linux. Plus récemment, le groupe a été impliqué dans une intrusion prolongée de cinq mois chez un prestataire de services informatiques russe, démontrant ainsi sa capacité à maintenir un accès clandestin de longue durée.
Accès initial et livraison de la charge utile
Ink Dragon s'introduit généralement dans les systèmes en exploitant des applications web vulnérables exposées à Internet. Ces failles sont exploitées pour déployer des web shells, qui servent ensuite de points d'entrée pour des outils supplémentaires tels que VARGEIT et Cobalt Strike. Ces charges utiles permettent la communication de commande et de contrôle, la reconnaissance interne, les déplacements latéraux, le contournement des défenses et le vol de données.
Abus des services cloud et des services légitimes
Parmi les portes dérobées secondaires du groupe figure NANOREMOTE, qui exploite l'API Google Drive pour échanger des fichiers entre les hôtes infectés et l'infrastructure contrôlée par l'attaquant. Le choix des outils semble délibéré et contextuel, ce qui suggère que les opérateurs adaptent leurs déploiements à l'environnement de la victime et privilégient des techniques similaires aux schémas de trafic normaux et fiables.
Exploitation de ViewState et détournement d’infrastructure C2
Une technique essentielle du mode opératoire d'Ink Dragon consiste à exploiter les failles de sécurité des clés machine ASP.NET. En exploitant les vulnérabilités de désérialisation ViewState des serveurs IIS et SharePoint, l'attaquant installe un module ShadowPad IIS Listener personnalisé. Ce module transforme les serveurs compromis en éléments actifs du réseau de commande et de contrôle de l'attaquant, lui permettant de relayer le trafic et les commandes et d'accroître considérablement sa résilience.
Du point de fuite local au réseau de relais mondial
Cette architecture permet d'acheminer le trafic non seulement au cœur d'une même organisation, mais aussi à travers des réseaux de victimes totalement distincts. De ce fait, un serveur compromis peut devenir discrètement un intermédiaire au sein d'une infrastructure multicouche plus vaste. Le module d'écoute prend en charge l'exécution de commandes à distance, offrant ainsi aux opérateurs un contrôle direct pour la reconnaissance et le déploiement de la charge utile.
Tactiques post-exploitation et d’escalade des privilèges
Outre l'exploitation de ViewState, Ink Dragon a utilisé des vulnérabilités de ToolShell SharePoint pour déployer des shells web. Après la compromission initiale, l'attaquant effectue généralement plusieurs actions pour consolider son accès et élever ses privilèges :
- Utilisation des clés machine IIS pour obtenir des informations d'identification d'administrateur local et se déplacer latéralement via des tunnels RDP
- Établir une persistance grâce à des tâches planifiées et des services malveillants
- Vidage de la mémoire LSASS et extraction des ruches de registre pour élever les privilèges
- Modification des règles du pare-feu hôte pour autoriser le trafic sortant et conversion des systèmes en nœuds relais ShadowPad
Réutilisation avancée des identifiants et compromission de domaine
Dans au moins un cas observé, les attaquants ont identifié une session RDP déconnectée mais active appartenant à un administrateur de domaine authentifié via l'authentification au niveau du réseau (NLS) avec repli NTLMv2. La session étant restée inactive mais non fermée, des informations d'identification sensibles ont persisté dans la mémoire LSASS. Après avoir obtenu un accès système, Ink Dragon a extrait le jeton et l'a réutilisé pour effectuer des opérations SMB authentifiées, écrire sur des partages administratifs et exfiltrer le fichier NTDS.dit ainsi que des ruches de registre.
Un écosystème de persistance modulaire
Plutôt que de s'appuyer sur une seule porte dérobée, Ink Dragon utilise un ensemble de composants spécialisés pour garantir un accès à long terme. Parmi les outils observés, on trouve :
- Chargeur ShadowPad pour déchiffrer et exécuter le module principal ShadowPad en mémoire
- CDBLoader, qui exploite le débogueur de console de Microsoft pour exécuter du code shell et charger des charges utiles chiffrées.
- LalsDumper pour extraire la mémoire LSASS
- 032Loader pour le déchiffrement et l'exécution de charges utiles supplémentaires
- FINALDRAFT, un outil d'administration à distance modernisé qui exploite Outlook et Microsoft Graph pour la commande et le contrôle.
Évolution de FINALDRAFT
Le groupe a récemment déployé une nouvelle variante FINALDRAFT conçue pour une furtivité accrue et une exfiltration de données plus rapide. Elle intègre des méthodes d'évasion avancées, prend en charge la livraison de charges utiles en plusieurs étapes et permet des déplacements latéraux discrets. Les commandes sont transmises sous forme de documents chiffrés déposés dans la boîte mail de la victime ; le programme les récupère, les déchiffre et les exécute grâce à une architecture de commandes modulaire.
Chevauchement avec d’autres acteurs menaçants
Les enquêteurs ont également identifié des traces d'un autre groupe lié à la Chine, REF3927, aussi connu sous le nom de RudePanda, dans plusieurs environnements compromis par Ink Dragon. Rien ne prouve une coordination entre les deux groupes, et le chevauchement observé serait dû à l'exploitation de vecteurs d'accès initiaux similaires plutôt qu'à un partage d'infrastructures ou d'opérations.
Un nouveau modèle de menace pour les défenseurs
Ink Dragon brouille la frontière traditionnelle entre les hôtes infectés et l'infrastructure de commande. Chaque système compromis devient un nœud fonctionnel d'un réseau contrôlé par l'attaquant, qui s'étend à chaque nouvelle victime. Pour les défenseurs, cela signifie que le confinement ne peut se concentrer uniquement sur les systèmes individuels. Une perturbation efficace exige l'identification et le démantèlement de l'ensemble de la chaîne de relais. L'utilisation de ShadowPad par Ink Dragon, centrée sur les relais, représente l'une des implémentations les plus abouties observées à ce jour, transformant de fait les réseaux des victimes en véritable colonne vertébrale de campagnes d'espionnage multi-organisationnelles de longue durée.
