Nouilles RAT
Un nouveau malware multiplateforme nommé Noodle RAT, jusqu'alors inconnu des experts en sécurité, a été utilisé par des acteurs malveillants parlant chinois à des fins d'espionnage et de cybercriminalité au cours des dernières années. Initialement considéré comme une variante du Gh0st RAT et du Rekoobe, les chercheurs confirment désormais que le Noodle RAT n'est pas seulement une modification d'un malware existant mais une menace entièrement nouvelle. Il fonctionne sous des alias comme ANGRYREBEL et Nood RAT et est compatible avec les systèmes Windows et Linux. Cette souche de malware est soupçonnée d'être active depuis au moins juillet 2016.
Table des matières
Les attaquants déploient les variantes de Noodle RAT basées sur les systèmes des victimes
L'édition Windows du Noodle RAT, une porte dérobée modulaire fonctionnant en mémoire, a été utilisée par des groupes de hackers tels qu'Iron Tiger et Calypso. Il est activé via un chargeur en raison de sa structure basée sur un shellcode. Ce logiciel malveillant est capable d'exécuter diverses commandes telles que le téléchargement/téléchargement de fichiers, l'exécution d'autres souches de logiciels malveillants, l'action en tant que proxy TCP et l'auto-suppression. Deux types de chargeurs distincts, à savoir MULTIDROP et MICROLOAD, ont été identifiés lors d'attaques visant respectivement la Thaïlande et l'Inde.
D’un autre côté, la version Linux du Noodle RAT a été utilisée par divers groupes de cybercriminalité et d’espionnage associés à la Chine, tels que Rocke et Cloud Snooper. Cette variante est capable d'initier un reverse shell, de gérer les transferts de fichiers, de planifier des tâches et de mettre en place un tunneling SOCKS. Ces attaques exploitent les vulnérabilités connues des applications accessibles au public pour infiltrer les serveurs Linux, en déployant un shell Web pour l'accès à distance et la diffusion de logiciels malveillants.
Similitudes entre les versions de Noodle RAT
Malgré les différences dans les commandes de porte dérobée, les deux versions du Noodle RAT partageraient un code de communication de commande et de contrôle (C2) identique et utiliseraient des formats de configuration similaires. Un examen plus approfondi des artefacts de Noodle RAT révèle que même si le malware intègre divers plugins utilisés par Gh0st RAT et que certains segments de la version Linux partagent des similitudes de code avec Rekoobe, la porte dérobée elle-même est entièrement nouvelle.
Les chercheurs ont également eu accès à un panneau de contrôle et à un constructeur utilisé pour la variante Linux du Noodle RAT. Les notes de version écrites en chinois simplifié détaillent les corrections de bugs et les améliorations, suggérant qu'elles sont probablement développées, maintenues et vendues à des clients spécifiques.
Cette évaluation est renforcée par des fuites datant du début de 2024, mettant en lumière un important écosystème de hack-for-hirt d’entreprise opérant depuis la Chine. Ces fuites soulignent les liens opérationnels et organisationnels entre les entités du secteur privé et les cyberacteurs parrainés par l’État chinois.
Le Noodle RAT pourrait être exploité par plusieurs groupes chinois de cybercriminalité
On pense que les outils menaçants proviennent d'une chaîne d'approvisionnement sophistiquée au sein du réseau de cyberespionnage chinois, où ils sont vendus et distribués commercialement au secteur privé et aux entités gouvernementales impliquées dans des opérations malveillantes parrainées par l'État. Le Noodle RAT est probablement distribué ou vendu parmi les groupes de langue chinoise. Après tout, il a été mal classé et sous-estimé pendant une période prolongée.
