New GoSerpent Malware Targets Southeast Asian Governments and Diplomats for Espionage

1 minute de lecture

Mis à jour :

Analyse de la menace GoSerpent et de l’espionnage cybernétique en Asie du Sud-Est

Points clés

  • Menace ciblée : Le logiciel malveillant « GoSerpent » est utilisé depuis fin 2025 pour des opérations d’espionnage à long terme contre des entités gouvernementales et diplomatiques en Asie du Sud-Est.
  • Évolution des outils : Les attaquants déploient une suite complexe d’outils (GoSerpent, McMx RAT, Stowaway) pour le mouvement latéral, le vol de données et le déploiement de proxys SOCKS5 afin de masquer leurs traces.
  • Méthodologie : Les attaquants pratiquent le moissonnage de données sur plusieurs mois, utilisant des outils comme ThumbcacheService pour la collecte de fichiers et Mimikatz ou QuarksDumpLocalHash pour l’exfiltration d’identifiants.
  • Attribution possible : Les activités présentent des similitudes techniques et opérationnelles avec le groupe APT « TetrisPhantom », connu pour son usage de clés USB chiffrées à des fins d’espionnage.

Vulnérabilités et vecteurs d’attaque

  • Abus de processus système : Utilisation de Mimikatz pour vider la mémoire du processus LSASS.
  • Extraction de données sensibles : Exploitation du registre SAM pour obtenir les hashs de mots de passe locaux.
  • Injection de modèles distants (RTF) : Le rapport mentionne également des campagnes distinctes du groupe « DoNot Team » exploitant des documents RTF avec injection de macros VBA pour infecter des cibles militaires.
  • Note : Aucune CVE spécifique n’a été mentionnée dans l’article, les techniques reposant sur l’utilisation d’outils légitimes détournés (Living-off-the-Land) et de malwares personnalisés.

Recommandations

  • Surveillance réseau : Détecter et bloquer les flux SOCKS5 suspects et les connexions vers des domaines inconnus ou non autorisés.
  • Durcissement des accès : Restreindre l’exécution de scripts PowerShell/VBA et limiter l’accès des utilisateurs aux outils de dump de mémoire (LSASS).
  • Contrôle des périphériques : Appliquer des politiques strictes de contrôle des supports USB, particulièrement dans les environnements gouvernementaux ou diplomatiques.
  • Analyse comportementale : Surveiller la création de tâches planifiées suspectes (souvent déguisées sous des noms de services légitimes comme OneDrive) et les activités anormales liées aux partages réseau.

Source