Porte dérobée MarsSnake

Des experts en sécurité informatique ont récemment révélé les tactiques d'un groupe de pirates informatiques pro-chinois connu sous le nom d'UnsolicitedBooker. Cet acteur malveillant a ciblé une organisation internationale anonyme en Arabie saoudite en utilisant une porte dérobée jusqu'alors inconnue appelée MarsSnake. Leur activité s'étend sur plusieurs années, témoignant d'un intérêt soutenu pour cette cible particulière.

Spear-phishing avec une touche d’originalité : les billets d’avion comme appât

La méthode d'infiltration du groupe repose en grande partie sur les courriels de spear-phishing. Ces courriels incluent souvent des billets d'avion comme leurres pour inciter les victimes à ouvrir des pièces jointes menaçantes. Les cibles sont principalement des organisations gouvernementales d'Asie, d'Afrique et du Moyen-Orient. L'utilisation de leurres liés aux vols rend les tentatives de phishing particulièrement convaincantes et ciblées.

Arsenal de logiciels malveillants connus et identités qui se chevauchent

Les attaques d'UnsolicitedBooker sont marquées par le déploiement de plusieurs portes dérobées bien connues, notamment :

• Chinoxy
• DeedRAT
• L'herbe à puce
• BeRAT

Ces logiciels malveillants sont généralement liés à des groupes de cyberespionnage chinois. De plus, UnsolicitedBooker partage des caractéristiques avec un autre groupe, les Space Pirates, et un groupe non identifié qui a utilisé une porte dérobée appelée Zardoor contre une organisation islamique à but non lucratif en Arabie saoudite.

Analyse de la dernière campagne : Déploiement de la porte dérobée MarsSnake

La campagne la plus récente, datée de janvier 2025, visait la même organisation saoudienne. L'attaque impliquait un courriel d'hameçonnage se faisant passer pour Saudia Airlines, accompagné d'une réservation de vol en pièce jointe. Voici quelques détails clés :

• La pièce jointe : Un document Microsoft Word déguisé en billet d'avion
• Origine du billet leurre : Modifié à partir d'un PDF accessible au public sur le site de partage de recherche Academia
• Processus d'infection : l'ouverture du document Word déclenche une macro VBA qui écrit un fichier exécutable (smssdrvhost.exe) sur le système de la victime
• Fonction de l'exécutable : Agit comme un chargeur pour MarsSnake, la porte dérobée récemment découverte
• Communication : MarsSnake se connecte à un serveur distant (contact.decenttoy.top) pour recevoir des commandes

Les tentatives d'intrusion répétées en 2023, 2024 et 2025 mettent en évidence la campagne ciblée d'UnsolicitedBooker contre cette organisation.

MarsSnake : un outil puissant dans l’arsenal d’UnsolicitedBooker

MarsSnake est une porte dérobée complète qui confère aux attaquants un contrôle important sur les machines infectées. Elle permet l'exécution de commandes arbitraires et un accès illimité aux fichiers en lecture/écriture. La porte dérobée reste en contact avec un serveur de commande et de contrôle (C&C) pour recevoir des instructions. Jusqu'à présent, MarsSnake semble être exclusivement utilisé par UnsolicitedBooker, ce qui en fait un outil emblématique de cet acteur malveillant.