Un nouveau rapport Kaspersky met à jour les pratiques et outils utilisés par ToddyCat, l’un des groupes APT Chinois les plus actifs en Europe.
Les groupes APT, capables de conduire des attaques sophistiquées sur le long cours, sont très souvent pilotés et financés par des Etats. Nombre d’entre eux ont notamment ciblé l’Europe à l’instar de Ghostwriter, APT29, ou les groupes chinois APT27, APT31 et Mustang Panda. ToddyCat fait partie de ces groupes probablement d’origine chinoise plutôt très actif en Europe.
Les chercheurs en cybersécurité de chez Kaspersky ont mis en lumière des avancées notoires dans les manœuvres de ce gang connu depuis décembre 2020 et à qui on doit le cheval de Troie « Ninja » et la backdoor « Samurai ».
Selon Kaspersky, le groupe a récemment développé une nouvelle génération de « loaders » (ces outils utilisés pour masquer le téléchargement et l’installation de malwares) ainsi qu’une nouvelle collection d’outils utilisés pour siphonner les fichiers sensibles.
Les nouveaux loaders du groupe semblent hautement personnalisables, spécialement ajustés pour les systèmes ciblés et exploitant un schéma de chiffrement unique pour rendre leur activité encore plus difficilement détectable.
Pour assurer une présence durable sur les systèmes compromis, ToddyCat emploie diverses tactiques, y compris la création d’une clé de registre et d’un service correspondant mais aussi tout un portfolio d’outils maisons pour contrôler les processus, les systèmes de fichiers, les sessions de reverse shell, l’injection de codes et l’exfiltration de données. L’étude révèle également que les hackers utilisent régulièrement LoFiSe pour trouver des fichiers spécifiques, DropBox Uploader pour télécharger des données vers Dropbox, Pcexter pour exfiltrer des fichiers d’archive vers OneDrive, une porte dérobée UDP passive pour la persistance, etc.
Les recherches confirment ainsi que ToddyCat persévère dans le cyber espionnage. « ToddyCat ne se contente pas de pénétrer dans les systèmes ; il met en place des opérations à long terme pour recueillir des informations précieuses sur une période prolongée, tout en s’adaptant en continu pour ne pas être détecté. Les organisations doivent reconnaître que le paysage des menaces a évolué : il ne s’agit plus seulement de se défendre, mais de faire preuve d’une vigilance et d’une adaptabilité permanentes. Pour rester en sécurité, il est essentiel d’investir dans des solutions de sécurité de premier ordre et d’avoir accès aux dernières découvertes en matière de renseignements sur les menaces », explique Giampaolo Dedola, chercheur principal en sécurité chez GReAT, le lab de recherche de Kaspersky.
Pour en savoir plus : ToddyCat: Keep calm and check logs