Partout dans le monde, les infrastructures critiques sont menacées par des « écosystèmes d’espionnage » hautement organisés et parrainés par des États. Ces organisations peu structurées, mais disposant de ressources importantes, déploient toute une série d’outils visant à la fois à perturber les services essentiels et à recueillir des renseignements. Certaines lancent des attaques par déni de service (DDoS) contre les centres de transport et de communication, ainsi que contre les chaînes d’approvisionnement commerciales. D’autres cherchent à obtenir des avantages géopolitiques, militaires ou économiques, sont habiles à rechercher des informations sensibles et à contourner les mesures de sécurité traditionnelles. Tout est une cible et rien n’est à l’abri.
À quoi ressemble un écosystème d’espionnage et comment fonctionne-t-il ? Dans ce blog, nous vous présentons un exemple récent.
Depuis plus d’une décennie, le gouvernement indien et les organisations de défense opèrent dans une ombre numérique constante. En coulisses, un écosystème d’espionnage étroitement connecté – en particulier Transparent Tribe (APT36) et le groupe SideCopy étroitement aligné – a continué à sonder, à s’adapter et à persister. Si les campagnes individuelles vont et viennent, l’objectif sous-jacent reste inchangé : la collecte de renseignements à long terme par le biais d’un accès furtif et résilient, ce qui souligne l’importance d’efforts de défense soutenus.
Ces acteurs ne sont pas tape-à-l’œil. Ils s’appuient plutôt sur des tactiques éprouvées, le spear-phishing, des documents militarisés et un mélange de trojans d’accès à distance personnalisés et prêts à l’emploi pour s’implanter discrètement dans les environnements cibles. Au fil du temps, cependant, leurs outils ont régulièrement évolué. Les charges utiles multiplateformes, l’exécution en mémoire et les canaux de commande et de contrôle de plus en plus secrets constituent désormais l’épine dorsale d’un écosystème conçu pour la patience plutôt que pour la rapidité, ce qui incite les défenseurs à s’adapter en permanence.
Un regain d’activité : Ce que nous avons observé
Au cours du mois dernier, les laboratoires de recherche sur les menaces d’Aryaka ont observé plusieurs campagnes actives ciblant la défense indienne et les organisations gouvernementales dans les environnements Windows et Linux. Le détail de ces campagnes met en évidence le paysage des menaces persistantes auxquelles sont confrontés les secteurs de la sécurité régionale.
Campagne Windows : GETA RAT via Living-Off-the-Land Abuse
Une campagne active a ciblé les systèmes Windows à l’aide de courriels d’hameçonnage contenant des fichiers LNK et HTA. Ces fichiers ont finalement permis de déployer GETA RAT, un cheval de Troie d’accès à distance basé sur .NET et fréquemment lié au groupe SideCopy. La chaîne d’infection exploite des composants Windows légitimes – notamment mshta.exe, la désérialisation XAML et l’exécution de charges utiles en mémoire – pour échapper à la détection traditionnelle basée sur les fichiers.
Pour parvenir à la persistance, les attaquants ont mis en œuvre des mécanismes de démarrage en couches qui garantissent un accès continu même en cas d’interruption de la chaîne d’infection. Le résultat est un point d’appui léger mais durable, bien adapté à une reconnaissance prolongée et à la collecte de renseignements.
Campagne Linux : ARES RAT et la persistance au niveau du système
Parallèlement, une autre campagne s’est concentrée sur les environnements Linux, un domaine dans lequel Transparent Tribe a fait preuve d’une maturité croissante. Cette opération a utilisé un téléchargeur basé sur Go pour installer ARES RAT, un outil d’accès à distance basé sur Python, historiquement associé à l’activité d’APT36.
Une fois déployé, ARES RAT a procédé au profilage automatisé du système, à l’énumération récursive des fichiers et à l’exfiltration de données structurées. La persistance a été assurée par les services utilisateur systemd, ce qui a permis au logiciel malveillant de survivre aux redémarrages tout en se fondant dans les opérations normales du système. Cette campagne signale clairement l’intention de maintenir la parité entre les plates-formes, plutôt que de traiter Linux comme un élément secondaire.
Un outil émergent : Le Desk RAT entre en scène
Au-delà des familles de logiciels malveillants connues, les laboratoires de recherche sur les menaces d’Aryaka ont également observé des campagnes diffusant Desk RAT, un cheval de Troie d’accès à distance basé sur Go et distribué par l’intermédiaire d’un complément PowerPoint malveillant (PPAM). La mise en évidence de cet outil émergent souligne l’innovation permanente des acteurs de la menace et la nécessité de mettre à jour les stratégies de détection.
Desk RAT se distingue par l’importance qu’il accorde à la télémétrie de l’hôte et à la surveillance en temps réel. Il recueille des diagnostics détaillés du système et communique avec ses opérateurs à l’aide d’un système de commande et de contrôle basé sur WebSocket, en échangeant des messages structurés d’information sur les clients et les battements de cœur. Cette conception permet une connaissance permanente de la situation des hôtes compromis, ce qui renforce les objectifs de surveillance à long terme d’APT36.
Une vue d’ensemble
Prises ensemble, ces campagnes renforcent un récit familier mais évolutif. Transparent Tribe et SideCopy ne réinventent pas l’espionnage, ils l’affinent. En élargissant la couverture multiplateforme, en s’appuyant sur des techniques résidant dans la mémoire et en expérimentant de nouveaux vecteurs de diffusion, cet écosystème continue d’opérer en dessous du niveau de bruit tout en conservant une orientation stratégique.
Pour les défenseurs, la conclusion est claire : il ne s’agit pas d’incidents isolés, mais d’efforts coordonnés au sein d’un écosystème de menaces mature. Pour détecter et perturber ces acteurs, il faut avoir une visibilité sur toutes les plateformes, prêter attention aux signaux comportementaux subtils et comprendre que la persistance est la plus grande arme de l’attaquant, et non la vitesse, ce qui permet aux équipes de sécurité de prendre des mesures globales.
Lisez le rapport complet ici