Entités gouvernementales d'Asie du Sud-Est ciblées par la porte dérobée de la victoire

Les spécialistes de la cybersécurité ont identifié une nouvelle campagne d'espionnage en matière de cybercriminalité, qui cible des entités diplomatiques et gouvernementales en Asie du Sud-Est. Bien que l'auteur de l'attaque n'ait pas encore été identifié, les experts rapportent qu'ils sont susceptibles de provenir de Chine compte tenu du type d'entités qu'ils ciblent, ainsi que du fait qu'ils ont utilisé l'arme RoyalRoad pour créer des fichiers RTF malveillants. En plus de ces deux découvertes, les chercheurs notent également qu'une toute nouvelle famille de logiciels malveillants a été introduite dans cette campagne, la Victory Backdoor.

Les victimes ont été approchées par le biais d'e-mails de harponnage contenant la pièce jointe RTF susmentionnée. La chose surprenante à propos de Victory Backdoor est qu'elle semble être en développement depuis très longtemps - les premières versions de la charge utile ont été compilées il y a plus de trois ans.

Le but de Victory Backdoor est de fournir aux opérateurs un accès persistant au réseau compromis, ainsi que d'exfiltrer silencieusement les données de celui-ci. Il peut manipuler des fichiers, récupérer des captures d'écran et collecter divers détails sur la configuration matérielle et logicielle du système compromis. Les développeurs du malware semblent avoir accordé une attention particulière à la sécurité de la communication entre l'implant et le serveur de contrôle – ces connexions sont fortement cryptées et obscurcies.

Jusqu'à présent, il n'y a pas eu suffisamment d'informations pour attribuer le développement et l'utilisation de Victory Backdoor à un acteur chinois particulier de la menace persistante avancée (APT), mais les chercheurs sont convaincus que les criminels opèrent effectivement depuis la Chine.