Un acteur menaçant chinois lié au logiciel espion NSPX30

Un acteur malveillant jusqu'alors inconnu ayant des liens avec la Chine a été identifié dans une série d'attaques d'adversaire au milieu (AitM), où des demandes légitimes de mise à jour logicielle sont exploitées pour fournir un implant avancé nommé NSPX30. Les experts en cybersécurité surveillent ce groupe de menaces persistantes avancées (APT), appelé Blackwood, qui serait opérationnel depuis au moins 2018.

L'implant NSPX30 est distribué via les mécanismes de mise à jour de logiciels bien connus tels que Tencent QQ, WPS Office et Sogou Pinyin. Les cibles de ces attaques incluent des sociétés chinoises et japonaises de fabrication, de commerce et d'ingénierie, ainsi que des individus en Chine, au Japon et au Royaume-Uni.

Décrit comme un implant à plusieurs étages, NSPX30 comprend divers composants, notamment un compte-gouttes, un installateur, des chargeurs, un orchestrateur et une porte dérobée, ces deux derniers ayant leurs propres ensembles de plugins. La conception de l'implant est centrée sur la capacité des attaquants à intercepter des paquets, permettant aux opérateurs NSPX30 de dissimuler leur infrastructure.

Origines du logiciel malveillant

Les origines de la porte dérobée remontent à un malware nommé Project Wood de janvier 2005, créé pour collecter des informations sur le système et le réseau, enregistrer les frappes au clavier et capturer des captures d'écran des systèmes victimes. La base de code du projet Wood a servi de base à plusieurs implants, donnant naissance à des variantes comme DCM (alias Dark Specter) en 2008. Ce malware a ensuite été utilisé dans des attaques ciblant des individus d'intérêt à Hong Kong et dans la région de la Grande Chine en 2012 et 2014.

La dernière itération, NSPX30, est fournie via des tentatives de téléchargement de mises à jour logicielles via le protocole HTTP (non chiffré), ce qui entraîne un système compromis. Un compte-gouttes malveillant, faisant partie du processus de mise à jour compromis, crée des fichiers sur le disque et exécute « RsStub.exe », un binaire associé au logiciel Rising Antivirus. Ceci est fait pour lancer "comx3.dll" en exploitant la susceptibilité du premier au chargement latéral des DLL.

"comx3.dll" sert de chargeur pour exécuter un fichier nommé "comx3.dll.txt", qui fonctionne comme une bibliothèque d'installation activant l'étape suivante de la chaîne d'attaque. Cette chaîne culmine avec l'exécution du composant orchestrateur ("WIN.cfg"). La méthode de livraison du compte-gouttes sous la forme de mises à jour malveillantes est actuellement inconnue, bien que des cas passés impliquant des acteurs chinois de la menace, tels que BlackTech, Evasive Panda, Judgment Panda et Mustang Panda, ont utilisé des routeurs compromis comme moyen de distribuer des logiciels malveillants.