RShell Malware cible les utilisateurs de MacOS

RShell est le nom d'un logiciel malveillant attribué à un acteur de menace persistante avancé chinois connu sous plusieurs alias, notamment APT27 et LuckyMouse.

RShell a été découvert par une équipe de recherche avec SEKOIA et lié à une application en chinois appelée MiMi, qui a été "trojanisée" depuis fin mai 2022 et a été utilisée pour télécharger et déployer le malware RShell.

Selon SEKOIA, c'est la première fois que LuckyMouse est repéré ciblant les systèmes MacOS. Les versions de l'application MiMi à partir de la mise à jour du 26 mai 2022 ont un insert de code JavaScript au début de leur fonction module.exports.

Le morceau de code JavaScript est utilisé pour vérifier si l'environnement est MacOS et si c'est le cas, le script télécharge RShell à partir d'une adresse IP associée à l'infrastructure C2 de LuckyMouse APT.

Une fois exécuté, RShell tente de contacter son serveur C2 et envoie les informations sur le noyau, le nom d'hôte, l'adresse IP et le nom d'utilisateur du système hôte.

Le logiciel malveillant RShell accepte un certain nombre de commandes, notamment l'énumération de fichiers et de répertoires, la lecture de fichiers, l'écriture de données dans des fichiers, ainsi que la suppression et la fermeture de fichiers.

Les liens entre LuckyMouse et RShell sont les plages d'adresses IP utilisées par les deux, ainsi que le fait que LuckyMouse a utilisé des applications de messagerie trojanisées et militarisées dans le passé, similaires à l'application de messagerie MiMi.