XenoRAT malware campaign hits multiple embassies in South Korea

Campagne de cyberespionnage utilisant XenoRAT cible des ambassades en Corée du Sud

Une campagne d’espionnage, active depuis mars et toujours en cours, vise des ambassades étrangères à Séoul. L’objectif est de déployer le logiciel malveillant XenoRAT via des dépôts GitHub compromis. Au moins 19 attaques par hameçonnage ciblé ont été enregistrées contre des entités de grande valeur. Les méthodes et l’infrastructure utilisées suggèrent des liens avec le groupe nord-coréen Kimsuky (APT43), mais certains éléments, comme l’analyse des fuseaux horaires et des pauses liées aux jours fériés, orientent également vers des opérateurs basés en Chine, possiblement avec une forme de parrainage ou d’implication chinoise.

Points clés:

• Cible: Ambassades étrangères en Corée du Sud.
• Logiciel malveillant: XenoRAT, un cheval de Troie sophistiqué permettant l’enregistrement de frappes, la capture d’écran, l’accès à la webcam/microphone, le transfert de fichiers et le contrôle à distance.
• Vecteur d’infection: Hameçonnage ciblé, utilisant des fichiers .ZIP protégés par mot de passe provenant de services de stockage cloud (Dropbox, Google Drive, Daum). Ces archives contiennent un fichier .LNK déguisé en PDF.
• Méthode d’exécution: Le fichier .LNK déclenche un script PowerShell obfusqué qui télécharge le payload XenoRAT depuis GitHub ou Dropbox, puis assure sa persistance via des tâches planifiées. XenoRAT est chargé en mémoire via réflexion et obfusqué avec Confuser Core 1.6.0 pour plus de discrétion.
• Phases de la campagne:
  • Mars: Sondages initiaux, ciblant une ambassade d’Europe centrale.
  • Mai: Ciblage diplomatique avec des leurres plus complexes (ex: fausse invitation à une réunion de haut niveau de l’UE).
  • Juin-Juillet: Thèmes liés à l’alliance militaire américano-coréenne.
• Leurres: Les emails sont hautement contextualisés, multilingues (coréen, anglais, persan, arabe, français, russe) et synchronisés avec des événements réels pour accroître leur crédibilité. Ils imitent souvent des diplomates ou des invitations officielles.
• Attribution: Moyennement attribuée à APT43 (Kimsuky) en raison de l’utilisation de services de messagerie coréens, de GitHub pour le commandement et le contrôle, et d’un GUID/mutex cohérent avec d’autres familles de malware de Kimsuky. Cependant, des indices suggèrent une implication chinoise.

Vulnérabilités:

• Bien que l’article ne mentionne pas de CVE spécifiques, la campagne exploite la confiance accordée aux communications par email et à l’utilisation de plateformes légitimes (GitHub, services cloud) pour la distribution des malwares.

Recommandations:

• Vigilance accrue: Sensibilisation des employés des ambassades aux tactiques de hameçonnage ciblé et à l’importance de vérifier l’authenticité des expéditeurs et du contenu des emails.
• Analyse des pièces jointes: Examiner avec prudence les pièces jointes inattendues, surtout celles provenant de services de stockage cloud ou protégées par mot de passe.
• Contrôles de sécurité renforcés: Mettre en œuvre des solutions de sécurité avancées pour la détection des menaces (antivirus de nouvelle génération, systèmes de prévention d’intrusion) et le filtrage des emails.
• Segmentation du réseau: Isoler les systèmes sensibles pour limiter la propagation en cas d’infection.
• Surveillance des activités réseau: Mettre en place une surveillance pour détecter les communications suspectes avec des serveurs externes ou des transferts de données inhabituels.

Source