Le groupe, suivi par ESET en tant que célèbre Sparrow, a été vu en déploiement de deux variantes sans papiers de la porte dérobée Sparrowdoor connue avec de nouvelles capacités d’exécution de commande parallèle.
Le célèbre groupe APT soutenu par la Chine, Salt Typhoon, semble avoir amélioré son arsenal avec des dérivations améliorées, même si les États-Unis augmentent la pression sur l’espionnage chinois.
Selon ESET Research, qui suit le groupe de menaces en tant que célèbre Sparrow, le groupe a déployé deux nouvelles versions de sa porte dérobée Sparrowdoor pour la modularité et l’exécution de commandement parallèle.
« Ces deux versions de Sparrowdoor constituent des progrès marqués par rapport aux antécédents, en particulier en termes de qualité et d’architecture de code », a déclaré Eset dans un article de blog. « L’un d’eux ressemble à la porte dérobée que les chercheurs de Trend Micro appelés et attribués au groupe Terre Estries Apt en novembre 2024. »
GhostSparrow – AKA Salt Typhoon (Microsoft), Earth Estries (Trend Micro), Ghost Emperor (Kaspersky Labs) et UNC2286 (Mandiant) – a augmenté le cyber-espionnage, viogner les réseaux de télécommunications américains et accéder aux données sur plus d’un million de personnes.
Les nouvelles variantes présentent une exécution de commande parallèle
L’une des principales caractéristiques ESET rapportées sur les deux variantes précédemment invisibles est leur capacité à exécuter des commandes parallèles. Cela signifie que les nouvelles variantes peuvent exécuter des tâches dans des threads parallèles pour améliorer l’efficacité, échapper à la détection et maintenir la persistance.
« Le changement le plus significatif est la parallélisation des commandes longues, telles que les E / S de fichiers et le shell interactif », a déclaré ESET. «Cela permet à la porte dérobée de continuer à gérer de nouvelles commandes pendant que ces tâches sont effectuées.»
Le fonctionnement simultané des opérations critiques mais longs vers de nouvelles commandes rend la détection et les perturbations plus difficiles, car des tâches telles que l’exfiltration de données ou la modification du système se poursuivent sans interruption, même si l’analyse ou l’interruption de la porte dérobée est tentée.
De plus, la nouvelle modularité introduite dans la porte dérobée lui permet de mettre à jour dynamiquement les configurations, de basculer entre plusieurs serveurs C&C et d’exécuter des charges utiles personnalisées sans redéploiement, selon ESET.
Nouvelles variantes utilisées dans les attaques contre nous et les organisations mexicaines
Des chercheurs de l’ESET ont rapporté repérer les variantes Sparrowdoor tout en enquêtant sur un incident de sécurité en juillet 2024 dans un groupe de commerce financier opérant aux États-Unis.
« Tout en aidant l’entité affectée à corriger le compromis, nous avons fait la découverte inattendue du réseau de la victime », ont déclaré les chercheurs. «Cette campagne est également le premier temps documenté de FamousStarrow a utilisé Shadowpad, une porte dérobée vendue privée, connue pour être fournie aux acteurs de la menace alignée sur la Chine.»
La campagne s’est étendue à une violation d’un institut de recherche au Mexique, deux jours avant le compromis américain. Lorsque les chercheurs ont nourri les techniques et les CIO dans un système de suivi, il a révélé des activités supplémentaires, dont l’une était une attaque contre un institut gouvernemental au Honduras. Eset enquête toujours sur les autres.
Alors que ESET attribue la campagne de juillet à l’entité qu’il suit en tant que célèbre Salprow avec une grande confiance, l’entreprise a des réservations pour l’identifier comme le typhon salé de Microsoft. « Il y a quelques chevauchements entre les deux mais beaucoup de divergences », a-t-il déclaré. «Sur la base de nos données et de nos analyses des rapports accessibles au public, FamousSparrow semble être son propre cluster distinct avec des liens lâches vers (Salt Typhoon)», tandis que Microsoft affirme que Salt Typhoon est le même que FamousParrow et Ghosttempeor, le leader de l’intelligence de la menace n’a pas encore attribué de telles activités telles que découvertes par les chercheurs ESET.
