Chine : cyber-espionnage contre la Russie

« La guerre entre la Russie et l’Ukraine a incité de nombreux pays à déployer leurs compétences cyber pour mieux comprendre les machinations politiques et les motivations. Ce besoin (…) s’étend à la collecte d’informations sensibles auprès des amis ».

Telle est la conclusion d’un rapport publié ce 27 avril 2022 par Secureworks, et révélant une vaste campagne d’hameçonnage contre des responsables russes, lancée depuis des serveurs précédemment attribués au groupe de cybercriminels chinois Bronze President (identifié aussi sous le nom de HoneyMyte et Mustang Panda).

Le groupe est connu pour son cheval de Troie maison, PlugX, et pour son mode opératoire : utiliser des documents disponibles publiquement pour transporter ses logiciels malveillants.

Dans le cas de cette campagne, Bronze President aurait utilisé des textes officiels de l’Union européenne sur les sanctions contre la Biélorussie, se présentant comme des PDF, mais contenant en fait une nouvelle version de PlugX, en .exe. Les fichiers portaient le nom de Blagoveshchensk, une ville russe près de la frontière chinoise. Pour Secureworks, ce nom prouve que la campagne visait des responsables russes de cette région.

Durant le mois d’avril 2022, Proofpoint et ESET avaient eux aussi repéré des variants de PlugX dans d’autres attaques contre des organes étatiques. Secureworks en conclut qu’une large campagne chinoise d’espionnage est probablement en cours.