Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Ver USB SnakeDisk

Ver USB SnakeDisk

Par Mezo en Logiciels malveillants, Vers
Se traduisent par :

Mustang Panda, un groupe malveillant pro-chinois, a déployé de nouveaux outils dans ses campagnes de cyberespionnage. Des chercheurs ont récemment documenté l'utilisation d'une porte dérobée TONESHELL améliorée, ainsi que d'un ver USB jusqu'alors inconnu, appelé SnakeDisk. Ces deux ajouts renforcent la réputation du groupe comme l'un des adversaires les plus tenaces soutenus par des États.

Qui est derrière les attaques ?

Les experts en cybersécurité surveillent cette activité sous le nom de cluster Hive0154, un nom générique lié à Mustang Panda. Ce cluster est également connu sous plusieurs pseudonymes, notamment BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Polaris, RedDelta, Stately Taurus et Twill Typhoon.

Les preuves indiquent que Mustang Panda est actif depuis au moins 2012, menant des opérations d’espionnage pour le compte des intérêts de l’État chinois.

SnakeDisk : un ver USB furtif

SnakeDisk est un ver récemment identifié qui se propage par chargement latéral de DLL. Il appartient à la famille des malwares TONESHELL et présente des similitudes évidentes avec un autre ver USB, TONEDISK (alias WispRider).

Ses principales fonctionnalités comprennent :

  • Surveillance des périphériques USB connectés pour détecter les opportunités de propagation.
  • Déplacer les fichiers USB existants dans un sous-répertoire caché, puis les remplacer par un exécutable malveillant déguisé en nom de volume de l'appareil ou simplement USB.exe.
  • Restauration des fichiers d'origine une fois le malware déclenché sur un nouveau système, réduisant ainsi les soupçons.

Une caractéristique frappante est son géorepérage : SnakeDisk ne s'exécute que sur les appareils avec des adresses IP basées en Thaïlande, réduisant ainsi sa portée de ciblage.

Yokai : La porte dérobée livrée par SnakeDisk

SnakeDisk sert de mécanisme de distribution pour Yokai, une porte dérobée qui configure un shell inversé pour exécuter des commandes arbitraires. Signalé pour la première fois en décembre 2024, Yokai était lié à des campagnes contre des responsables thaïlandais.

Le malware présente des similitudes techniques avec d'autres familles de portes dérobées attribuées à Hive0154, notamment PUBLOAD/PUBSHELL et TONESHELL. Bien qu'il s'agisse de souches distinctes, ces familles utilisent des structures et des techniques similaires pour communiquer avec les serveurs de commande et de contrôle (C2).

Focus stratégique sur la Thaïlande

Les règles de ciblage intégrées à SnakeDisk et le déploiement de Yokai suggèrent fortement qu'un sous-groupe Mustang Panda se concentre fortement sur la Thaïlande. Cela témoigne d'une stratégie affinée et d'opérations sur mesure en Asie du Sud-Est.

Un écosystème de logiciels malveillants vaste et évolutif

Hive0154 se distingue par sa capacité à maintenir un vaste écosystème de logiciels malveillants interconnectés. Ses opérations démontrent :

  • Chevauchements fréquents dans les codes malveillants et les techniques d’attaque.
  • Expérimentation en cours avec des sous-clusters et des logiciels malveillants spécialisés.
  • Un rythme constant de cycles de développement, mettant en avant l’adaptabilité.

L'arsenal évolutif du Mustang Panda souligne l'engagement à long terme de l'acteur de la menace à faire progresser ses capacités d'espionnage tout en affinant sa concentration régionale.

Tendance

Meta - Arnaque au programme de crédits publicitaires...

Hameçonnage, Courrier indésirable
Les escrocs rivalisent d'ingéniosité pour exploiter les utilisateurs non avertis grâce à des sites web frauduleux et des offres trompeuses. L'une de ces arnaques est l'escroquerie « Meta - Programme de crédits publicitaires gratuits », qui promet mensongèrement des crédits publicitaires gratuits pour les campagnes Facebook et Instagram. Il est essentiel de comprendre que ces courriels et sites...

Le plus regardé

Chargement...