Un groupe de hackers connu sous le nom de Transparent Tribe, ou APT36, vient de lancer une nouvelle campagne de cyberespionnage sophistiquée contre plusieurs entités gouvernementales et universitaires en Inde. Grâce à une attaque RAT (Remote Access Trojan) dissimulée derrière de faux fichiers PDF, ils réussissent à prendre le contrôle des systèmes infectés. Cette campagne illustre une fois de plus la montée en puissance des menaces liées à la cybersécurité en Inde, et plus largement à la région Asie du Sud, où les groupes APT multiplient les offensives ciblées. Si vous cherchez à comprendre ou à simuler ce type d’attaques pour mieux vous en protéger, un livre pour apprendre le hacking peut se révéler utile dans une démarche de sensibilisation et d’audit préventif.
Une attaque RAT sophistiquée déguisée en fichier PDF
Un fichier LNK malveillant comme point d’entrée
APT36 tire profit de e-mails de spear-phishing contenant une archive ZIP dont le fichier LNK camouflé en PDF est en réalité une arme cybernétique. Lorsque ce fichier est ouvert, il déclenche l’exécution d’un script HTML Application (HTA) à distance via l’outil « mshta.exe ». Le script HTA déchiffre et charge la charge utile RAT directement en mémoire afin d’éviter la détection par les antivirus traditionnels.
Une ruse visuelle pour tromper les utilisateurs
Pour rendre l’attaque plus crédible, le script HTA télécharge également un document PDF leurre et l’ouvre automatiquement, donnant l’illusion d’un fichier sans danger. Cette méthode d’ingénierie sociale est parfaitement optimisée pour tromper les travailleurs du secteur public et éducatif.
Méthodes de persistance adaptées aux antivirus installés
Une adaptation selon les solutions de sécurité détectées
L’un des aspects les plus avancés de cette attaque est sa capacité à adapter son comportement en fonction de l’antivirus détecté sur la machine infectée :
- Si Kaspersky est détecté, l’attaque établit un répertoire de travail, insère un fichier HTA obscurci et crée un fichier LNK dans le dossier de démarrage de Windows.
- Avec Quick Heal, l’implant crée un script batch et un fichier LNK malveillant pour appeler la charge utile HTA.
- Si Avast, AVG ou Avira sont en place, la charge utile est simplement copiée dans le répertoire de démarrage.
- S’il n’y a aucun antivirus reconnu, l’implant exécute un script batch utilisant le registre pour se réinstaller au démarrage du système.
Un cheval de Troie RAT complet
Le second fichier HTA actif déploie une bibliothèque DLL appelée iinneldc.dll, qui agit en tant que RAT complet. Elle permet un contrôle à distance du système, la gestion de fichiers, l’exfiltration de données, la capture d’écran, la manipulation du presse-papiers ainsi que le contrôle de processus. Cela montre un niveau de complexité avancé, souvent abordé dans les exercices de sécurité via un livre pour apprendre à hacker ou lors d’audits de sécurité offensifs.
Une autre campagne inspire par la désinformation gouvernementale
Leurres par PDFs gouvernementaux
APT36 a également été observé diffusant un fichier « NCERT-Whatsapp-Advisory.pdf.lnk », un raccourci trompeur contenant un faux fichier PDF sur un prétendu message WhatsApp frauduleux. Lors de son ouverture, une commande obfusquée télécharge un installateur MSI depuis un domaine distant (« aeroclubofindia.co[.]in »).
Autres charges utiles malveillantes
L’attaque aboutit au déploiement de DLLs malveillantes sur « C:ProgramDataPcDirvs », notamment « pdf.dll » et « wininet.dll », ainsi que d’un exécutable « PcDirvs.exe ». La persistance est renforcée par un script Visual Basic dans un fichier HTA stocké dans le registre de Windows. Bien que le serveur de commande (C2) soit aujourd’hui inactif, cette configuration permet à tout moment sa réactivation.
Structure réseau et communication RAT
Une infrastructure de contrôle élaborée
La DLL « wininet.dll » communique avec une infrastructure C2 via le serveur « dns.wmiprovider[.]com ». Elle prend en charge des instructions dispatchées via plusieurs endpoints HTTP conçus pour des opérations comme :
- /retsiger : enregistrement de la machine infectée.
- /taebtraeh : envoi d’un signal de présence.
- /dnammoc_teg : exécution de commandes distantes.
- /dnammocmvitna : gestion d’une détection de machine virtuelle.
Les fonctions de cette portion de code permettent à APT36 de maintenir le contrôle à distance tout en évitant la détection par des outils de sécurité classiques.
Un autre groupe APT se joint au bal des menaces : Patchwork
StreamSpy, un nouveau trojan Python modulaire
Le groupe Patchwork, aussi connu sous les noms de Dropping Elephant ou Maha Grass, a été récemment attribué à une nouvelle souche de malware appelée StreamSpy. Distribué via des fichiers ZIP, ce cheval de Troie en Python est équipé de capacités avancées comme la communication via WebSocket et HTTP, l’exécution de modules Python à distance, et l’upload ou le téléchargement de fichiers.
Commandes supportées et mécanisme de persistance
StreamSpy permet de :
- Télécharger et ouvrir des fichiers.
- Configurer l’environnement d’exécution en cmd ou PowerShell.
- Fermer les sessions ouvertes.
- Gérer des fichiers chiffrés depuis le serveur C2.
- Accéder aux structures de fichiers locales ou distantes.
Patchwork semble recycler ou partager ses ressources avec le groupe DoNot, renforçant la nécessité pour les entreprises d’investir dans des solutions adaptées de cybersécurité proactive.
Face à ces menaces d’espionnage cybernétique de plus en plus ciblées et complexes, les équipes de CyberCare proposent des services sur mesure de veille, de simulation d’attaque et de protection réseau, en s’appuyant notamment sur des méthodologies éprouvées d’analyse comportementale et de détection proactive.
