Logiciel malveillant LoptikMod
Une nouvelle campagne attribuée au groupe APT DoNot a fait surface. Elle met en avant l'utilisation d'une souche de malware furtive et persistante appelée LoptikMod. Cet outil a été utilisé dans une attaque ciblée contre un ministère européen des Affaires étrangères, témoignant ainsi de l'orientation du groupe au-delà de l'Asie du Sud.
Table des matières
Un acteur de menace connu avec une portée croissante
La campagne a été liée à l'équipe DoNot, un groupe de menaces persistantes avancées (APT) connu sous divers pseudonymes, notamment APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 et Viceroy Tiger. Avec des opérations remontant au moins à 2016, le groupe a un historique avéré de ciblage d'agences gouvernementales, de ministères des Affaires étrangères, d'organismes de défense et d'ONG, notamment en Asie du Sud et en Europe.
Historiquement, DoNot APT a utilisé des logiciels malveillants personnalisés, notamment YTY et GEdit, souvent déployés via des campagnes de spear-phishing et des pièces jointes de documents malveillants.
Attirer la cible : le phishing comme point d’entrée
L'attaque commence par un e-mail de phishing trompeur, conçu pour paraître légitime et fiable. Ces messages, envoyés depuis un compte Gmail, se font passer pour des responsables de la Défense et leurs objets font référence à la visite d'un attaché de défense italien à Dhaka, au Bangladesh. Il est à noter que ces e-mails sont formatés en HTML avec un codage UTF-8 pour restituer correctement les caractères spéciaux comme « é », ce qui renforce leur authenticité.
Un lien Google Drive intégré à l'e-mail mène au téléchargement d'une archive RAR. Cette archive contient un exécutable malveillant conçu pour imiter un fichier PDF. Une fois ouvert, l'exécutable déclenche le déploiement de LoptikMod, un cheval de Troie d'accès à distance (RAT) exclusif à DoNot APT depuis au moins 2018.
À l’intérieur du malware LoptikMod
Une fois exécuté, LoptikMod s'intègre au système hôte à l'aide de tâches planifiées pour assurer sa persistance. Il se connecte ensuite à un serveur de commande et de contrôle (C2) distant pour exécuter diverses activités malveillantes. Parmi celles-ci :
- Renvoyer les informations système aux attaquants
- Réception et exécution de commandes supplémentaires
- Téléchargement de modules malveillants supplémentaires
- Exfiltration de données sensibles
Pour éviter toute détection et entraver l'analyse forensique, LoptikMod utilise des techniques anti-VM (machine virtuelle) et l'obfuscation ASCII, ce qui complique l'analyse de ses fonctionnalités par les chercheurs en sécurité. De plus, il garantit qu'une seule instance est exécutée à la fois sur un appareil, évitant ainsi les conflits internes et réduisant les risques de détection.
État actuel de la campagne et infrastructure
Bien que LoptikMod soit performant et persistant, le serveur C2 impliqué dans la dernière attaque est actuellement inactif. Cette inactivité pourrait signifier que l'infrastructure a été temporairement mise hors ligne, définitivement fermée ou remplacée par un nouveau serveur non détecté.
L'état inactif du serveur limite la capacité des chercheurs à analyser les commandes et les données exactes échangées entre les points de terminaison infectés et les attaquants.
Signes d’un changement stratégique : les cibles européennes au centre des préoccupations
La dernière activité de DoNot APT montre des signes d'évolution. Alors que le groupe se concentrait traditionnellement sur les intérêts sud-asiatiques, cette récente opération témoigne d'un intérêt croissant pour le renseignement diplomatique européen, notamment en lien avec l'Asie du Sud.
Ce changement indique probablement des capacités opérationnelles renforcées et des objectifs de renseignement plus ambitieux. Les responsables du groupe pourraient chercher à obtenir des informations sur les stratégies diplomatiques occidentales, les politiques de défense et les engagements internationaux en Asie du Sud.
Points clés à retenir
Pour atténuer efficacement ces attaques, les organisations doivent commencer par former leur personnel à reconnaître les tentatives d'hameçonnage, même lorsque les messages semblent parfaitement légitimes. Il est tout aussi important de surveiller en permanence les systèmes pour détecter tout comportement inhabituel, comme des tâches planifiées imprévues ou des connexions sortantes vers des serveurs inconnus, qui pourraient indiquer une compromission.
De plus, la mise en œuvre d'outils de sandboxing et d'analyse comportementale peut aider à détecter et neutraliser les exécutables suspects avant qu'ils ne causent des dommages. Maintenir les systèmes entièrement patchés et intégrer les derniers flux de renseignements sur les menaces garantit que les vulnérabilités connues sont rapidement corrigées. Enfin, la segmentation du réseau peut réduire considérablement le risque de propagation latérale des logiciels malveillants, limitant ainsi plus efficacement les failles potentielles.
Conclusion : la vigilance est essentielle
Le déploiement de LoptikMod par le groupe APT DoNot dans le cadre d'une campagne de cyberespionnage européenne témoigne brutalement de l'évolution du paysage des menaces. Alors que les groupes APT continuent d'améliorer leurs outils et d'élargir leur ciblage, notamment contre les actifs diplomatiques de grande valeur, les organisations doivent rester vigilantes et proactives dans leurs défenses en matière de cybersécurité.
