Une nouvelle offensive de cyberespionnage menée par le groupe chinois Mustang Panda cible spécifiquement la communauté tibétaine, selon un rapport publié par IBM X-Force. En utilisant des techniques de phishing avancées et des malwares comme PUBLOAD et Pubshell, les hackers cherchent à compromettre des systèmes sensibles liés aux affaires tibétaines. Si vous recherchez des informations sur les attaques cyber contre les communautés tibétaines ou les groupes de hackers chinois, vous êtes au bon endroit.
Une campagne de phishing ciblant la communauté tibétaine
Des leurres en lien avec la politique tibétaine
Les cybercriminels ont lancé une vague de phishing ciblé en diffusant des archives malveillantes se présentant comme des documents liés au 9e Parlement mondial des parlementaires pour le Tibet (WPCT), à la politique éducative chinoise dans la région autonome du Tibet (TAR), ou encore à un livre récemment publié du Dalaï Lama.
Ces fichiers accompagnent un document Microsoft Word légitime, copiant des articles parus sur des sites tibétains ou contenant des images issues d’événements réels. Une fois ouvert, le document déclenche un exécutable malveillant maquillé en fichier inoffensif.
Une chaîne d’infection sophistiquée
Le fichier exécutable utilise la technique de DLL side-loading pour lancer Claimloader, un composant malveillant qui installe ensuite PUBLOAD. Ce dernier est un malware téléchargeur permettant de récupérer un second module, nommé Pubshell.
Pubshell fonctionne comme une porte dérobée légère, offrant aux cyberattaquants un accès immédiat à la machine infectée via une reverse shell. Il permet notamment l’exécution de commandes à distance. Cette capacité à contrôler à distance les systèmes ciblés en fait un outil de choix pour des opérations d’espionnage numérique.
Apparentés à TONESHELL, les nouveaux malwares montrent des liens de codes
Une version allégée d’un outil bien connu
IBM distingue entre plusieurs composants du malware : Claimloader pour la phase de mise en place, PUBLOAD comme téléchargeur principal, et Pubshell en tant que payload final. D’autres chercheurs de Trend Micro et Team T5 regroupent ces composants sous différents noms comme NoFive.
Les chercheurs de sécurité notent que ces outils présentent de nombreuses similitudes avec TONESHELL, un autre malware utilisé par Mustang Panda. Néanmoins, PUBLOAD et Pubshell apparaissent comme des variantes plus simples, similaires sur le plan du code mais moins sophistiquées.
Propagation par disques USB et ciblage plus large
Les cyberattaques ne se limitent pas au Tibet. Des campagnes similaires ont été observées à l’encontre d’organisations gouvernementales aux États-Unis, aux Philippines, au Pakistan et à Taïwan. Dans certains cas, les hackers utilisent un ver USB appelé HIUPAN (également connu sous le nom de MISTCLOAK ou U2DiskWatch) pour diffuser automatiquement les malwares via des périphériques de stockage.
Cette méthode démontre l’évolution stratégique du groupe Hive0154 (nom donné par IBM à Mustang Panda), capable de travailler en sous-clusters et d’entretenir un arsenal de logiciels malveillants sophistiqués.
Apprendre à reconnaître et comprendre les modes opératoires des groupes APT
Développer ses compétences pour mieux se défendre
Pour les passionnés de cybersécurité offensive ou les professionnels souhaitant élever leur niveau de défense, il est indispensable de comprendre les tactiques utilisées par les groupes APT comme Mustang Panda. Un excellent moyen de plonger dans ces techniques est le livre pour apprendre à hacker commercialisé sur notre boutique. Ce guide pratique vous enseigne les rudiments du hacking éthique et vous prépare à contrer des attaques similaires dans des environnements réels.
Une vigilance constante reste indispensable
Ce type de campagne illustre parfaitement comment les acteurs malveillants exploitent des conflits géopolitiques et des thématiques sensibles pour manipuler leurs cibles et déployer des outils malveillants. Une veille continue et la capacité à reconnaître les indicateurs de compromission restent les meilleurs moyens de se défendre contre ces menaces persistantes avancées.
Face à l’intensification de ces attaques ciblées, les services en cybersécurité de CyberCare vous aident à anticiper, détecter et neutraliser les menaces, en s’appuyant sur une expertise technique adaptée aussi bien aux entreprises qu’aux gouvernements en zone sensible.
