China-Linked Ink Dragon Hacks Governments Using ShadowPad and FINALDRAFT Malware

Ink Dragon : Une Armée Fantôme Chinoise s’infiltre dans les Gouvernements Européens

Un groupe de pirates informatiques lié à la Chine, connu sous le nom d’Ink Dragon (également référencé sous les noms de Jewelbug, CL-STA-0049, Earth Alux et REF7707), cible de manière croissante les gouvernements en Europe depuis mi-2025, tout en poursuivant ses activités en Asie du Sud-Est et en Amérique du Sud. Actif depuis au moins mars 2023, ce groupe se distingue par une ingénierie logicielle solide, des tactiques opérationnelles disciplinées et une utilisation habile des outils natifs du système pour se fondre dans le réseau des victimes, rendant ses intrusions à la fois efficaces et discrètes.

Le groupe a déjà touché plusieurs dizaines de victimes, incluant des entités gouvernementales et des organisations de télécommunications en Europe, Asie et Afrique. Les attaques débutent souvent par l’exploitation de services vulnérables dans des applications web exposées à Internet pour déployer des web shells. Ceux-ci servent ensuite à livrer des charges utiles supplémentaires comme VARGEIT et Cobalt Strike, facilitant le contrôle à distance, la reconnaissance, le déplacement latéral, l’évasion des défenses et l’exfiltration de données.

Un élément central de l’arsenal d’Ink Dragon est le malware FINALDRAFT (alias Squidoor), capable d’infecter les systèmes Windows et Linux. Une nouvelle variante de FINALDRAFT a été observée, offrant une furtivité accrue, un débit d’exfiltration plus élevé et des techniques d’évasion avancées pour un mouvement latéral discret et un déploiement de malware multi-étapes. Ce malware utilise un cadre de commande modulaire où les opérateurs envoient des documents de commande encodés vers la boîte aux lettres de la victime, qui sont ensuite récupérés, déchiffrés et exécutés par l’implant. Un autre malware notable est NANOREMOTE, qui utilise l’API Google Drive pour la communication avec le serveur de commande et de contrôle (C2).

Ink Dragon exploite également des vulnérabilités spécifiques pour établir une présence persistante. Il cible les clés de machine ASP.NET prévisibles ou mal gérées pour réaliser des attaques de désérialisation ViewState contre les serveurs IIS et SharePoint vulnérables. Une fois ces serveurs compromis, un module personnalisé de type “ShadowPad IIS Listener” est installé. Ce module transforme les serveurs compromis en faisant partie de l’infrastructure C2, leur permettant de relayer les commandes et le trafic, renforçant ainsi la résilience du groupe. Cette architecture de relais permet aux attaquants de naviguer non seulement en profondeur dans le réseau d’une organisation, mais aussi à travers différents réseaux de victimes, transformant chaque intrusion en un nœud d’une infrastructure mondiale.

Le groupe a également été observé exploitant les failles de ToolShell SharePoint pour déployer des web shells. D’autres étapes typiques incluent l’obtention d’identifiants administratifs locaux via la clé de machine IIS, l’exploitation de sessions RDP inactives de plus hauts privilèges pour obtenir un accès système, et l’extraction de dumps LSASS et de ruches de registre pour une escalade de privilèges. Enfin, les règles du pare-feu hôte sont modifiées pour permettre le trafic sortant et transformer les hôtes infectés en un réseau de relais ShadowPad.

L’architecture d’Ink Dragon repose sur plusieurs composants plutôt qu’un seul logiciel malveillant, incluant : ShadowPad Loader, CDBLoader, LalsDumper, 032Loader et FINALDRAFT.

Il est important de noter que le groupe REF3927 (RudePanda) a été détecté dans certains environnements victimes d’Ink Dragon, bien qu’aucun lien opérationnel ne soit établi, suggérant que les deux groupes auraient pu exploiter des méthodes d’accès initial similaires.

Ink Dragon représente une menace où la distinction entre un hôte compromis et une infrastructure de commande s’estompe. Chaque point d’accès devient un nœud dans un réseau plus vaste contrôlé par l’opérateur. Pour se défendre, les organisations doivent considérer les intrusions non seulement comme des brèches locales, mais comme des maillons potentiels d’un écosystème externe géré par l’attaquant, où le démantèlement d’un seul nœud est insuffisant sans l’identification et la neutralisation de l’ensemble de la chaîne de relais.

Points Clés :

• Acteur de menace : Ink Dragon (également connu sous Jewelbug, CL-STA-0049, Earth Alux, REF7707).
• Cibles principales : Gouvernements, organisations gouvernementales et de télécommunications.
• Zones géographiques ciblées : Europe, Asie du Sud-Est, Amérique du Sud, Afrique.
• Outils et Malwares utilisés : ShadowPad (module IIS Listener), FINALDRAFT (Squidoor), VARGEIT, Cobalt Strike, NANOREMOTE, ShadowPad Loader, CDBLoader, LalsDumper, 032Loader.
• Techniques d’attaque : Exploitation de services web vulnérables, déploiement de web shells, désérialisation ASP.NET ViewState via clés de machine mal gérées, exploitation de ToolShell SharePoint, exploitation de sessions RDP avec élévation de privilèges, extraction de LSASS et ruches de registre.
• Architecture d’attaque : Utilisation d’un réseau de relais basé sur les machines compromises, créant un “maillage” résilient contrôlé par l’attaquant.
• Nouveautés : FINALDRAFT, une nouvelle variante avec des capacités furtives et d’exfiltration améliorées, et un cadre de commande modulaire basé sur les e-mails.

Vulnérabilités :

• Services vulnérables dans les applications web exposées à Internet.
• Clés de machine ASP.NET prévisibles ou mal gérées (permettant la désérialisation ViewState).
• Failles dans ToolShell SharePoint.
• Exploitation de sessions RDP non déconnectées contenant des jetons d’authentification valides.

Recommandations :

• Surveillance et renforcement de la sécurité des applications web et des services exposés à Internet.
• Mise en place de politiques robustes pour la gestion des clés de machine ASP.NET et des secrets.
• Maintien à jour et sécurisation des serveurs SharePoint et IIS.
• Application du principe du moindre privilège et renforcement des politiques de gestion des sessions RDP.
• Implémentation de solutions de sécurité avancées pour détecter et bloquer les activités suspectes, notamment l’utilisation d’outils natifs du système et les mouvements latéraux.
• Une approche globale de la réponse aux incidents, visant à identifier et démanteler l’intégralité de la chaîne de relais plutôt que de se concentrer sur des brèches isolées.

Source