RAT talisman

Talisman est un puissant RAT (cheval de Troie d'accès à distance) qui a été considéré comme faisant partie de l'arsenal menaçant de ce que l'on pense être des groupes de cyberespionnage soutenus par la Chine. La menace a été créée en utilisant le code source du tristement célèbre malware PlugX et est conçue pour répondre aux besoins particuliers des acteurs de la menace. Il fonctionne en suivant un flux d'exécution similaire qui implique d'abuser d'un binaire signé et inoffensif, qui est obligé de charger une DLL violemment modifiée pour s'exécuter en tant que shellcode. À son tour, le shellcode procédera au décryptage du logiciel malveillant. Une fois établi sur les appareils piratés, Talisman fournira un accès détourné à ceux-ci.

Talisman conserve également les capacités de plug-in attendues d'une variante PlugX. Certains des plug-ins jugés essentiels par les cybercriminels sont intégrés par défaut à la menace. Certains des plug-ins identifiés ont été révélés dans un rapport de l'agence américaine CISA et incluent Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL et Telnet. Les fonctions de chaque plug-in correspondent à son nom.

Jusqu'à présent, Talisman a été observé dans le cadre de plusieurs campagnes d'attaque. Les chercheurs ont suivi une opération menaçante ciblant des entités sud-asiatiques opérant dans les secteurs des télécommunications et de la défense. L'attaque a été attribuée à un groupe de cybercriminalité connu sous le nom de Nomad Panda ou RedFoxtrot. Plus récemment, des chercheurs en sécurité ont attrapé un autre collectif de hackers aligné sur la Chine visant à nouveau des cibles du secteur des télécommunications, mais cette fois situé en Asie centrale. Cette campagne particulière a été attribuée à un acteur menaçant suivi sous le nom de "Moshen Dragon". Il convient de souligner qu'un certain chevauchement a été établi entre les TTP (Tactiques, techniques et procédures) de Moshen Dragon et RedFoxtrot.