Les pirates utilisent Syteca, GC2 et Adaptix dans une intrusion de style espionnage contre une institution financière asiatique.
Les pirates de ransomwares de brouillard, connus pour cibler les établissements d’enseignement américains, utilisent désormais la syteca logicielle de surveillance des employés légitimes et plusieurs outils de test de stylo open source aux côtés du chiffrement habituel.
Tout en enquêtant sur une attaque de mai 2025 contre une institution financière anonyme en Asie, les chercheurs de Symantec ont repéré des pirates en utilisant Syteca (anciennement Ekran) et plusieurs séries de stylos, y compris GC2, Adaptix et Stowaway, un comportement qu’ils ont trouvé «très inhabituel» dans une chaîne d’attaques rares.
En réfléchissant au changement de tactique du brouillard, le CISO de BugCrowd, Trey Ford, a déclaré: «Nous devons nous attendre à l’utilisation de logiciels d’entreprise ordinaires et légitimes comme la norme – nous qualifions cela de« vivre de la terre ». Pourquoi un attaquant introduirait-il un nouveau logiciel, créerait plus de bruit dans les logs, et augmenterait la probabilité de détection lorsque des logiciels« permisable «permettaient le travail pour eux?»
Bien que Symantec ne puisse pas identifier le vecteur d’infection initial utilisé dans l’attaque, les acteurs de ransomwares de brouillard ont utilisé des vulnérabilités critiques dans le passé, comme la sauvegarde Veeam et la réplication de rééamorations CVSS 9.8, permettant à l’exécution du code distant, d’obtenir un accès non autorisé.
De plus, les efforts inhabituels des pirates pour maintenir la persistance longtemps après le cryptage ont suggéré un motif plus profond, éventuellement arrière.
Syteca était probablement utilisée comme voleur
Les chercheurs ont trouvé des attaquants utilisant Stowaway, l’outil de proxy open source conçu pour une communication sécurisée entre les réseaux internes et externes, afin de livrer l’exécutable Syteca.
On ne sait pas comment les attaquants ont utilisé l’outil Syteca pendant l’intrusion, qui a été distribué sous forme de fichiers sous des noms comme «sytecaclient.exe» et «udpate.exe». Pourtant, le potentiel contradictoire d’un outil de surveillance des employés avec l’enregistrement d’écran et les capacités de journalisation des touches n’est pas trop difficile à deviner.
Plusieurs bibliothèques sont chargées par cet exécutable, ce qui suggère qu’elle a peut-être été utilisée pour le vol ou l’espionnage d’informations, ont ajouté des chercheurs.
« Le vrai danger dans ce cas n’est pas la note de rançon – c’est ainsi que le FOG transforme un simple record d’écran en un appareil photo caché », a déclaré Akhil Mittal, directeur principal chez Black Duck. «Le logiciel est un moteur essentiel de la croissance et de l’innovation pour chaque entreprise; cependant, les applications commerciales que nous installons sur le pilote automatique peuvent soudainement devenir des outils d’espionnage, ce qui signifie que la confiance est le point faible.»
Les équipes de sécurité devraient conserver une carte en direct de l’endroit où chaque application de surveillance est autorisée à fonctionner et à le signaler au moment où on apparaît quelque part étrange, a ajouté Mittal.
Testers de stylo open source pour exécuter les commandes
Une autre particularité observée dans l’attaque a été l’utilisation d’outils de test de pénétration open source, comme GC2 et Adaptix C2, rarement vus avec des attaques de ransomwares.
Google Command and Control (GC2) est un outil de post-exploitation open source qui permet aux attaquants de contrôler les systèmes compromis en utilisant des services cloud légitimes comme Google Sheets et Google Drive comme infrastructure de commande et de contrôle (C2).
L’implant GC2 seul, potentiellement, a permis aux attaquants d’exécuter des commandes de découverte, de transférer des fichiers et de charger ShellCode, faisant allusion à des objectifs de collecte de renseignement plus profonds.
« L’utilisation de plates-formes de productivité attendues (par exemple, Google Sheets ou Microsoft SharePoint) pour la commande et le contrôle (C2) se serait mélangé un peu plus avec le trafic d’entreprise normalisé, augmentant le temps de détection et ralentit un peu les enquêtes », a ajouté Ford.
GC2 a été utilisé précédemment dans des attaques attribuées au groupe de menaces chinois de l’APT41. Adaptix C2, un pelotage post-exploitation similaire à la balise de frappe Cobalt, a également été observé dans l’attaque de brouillard.
La persistance après le cryptage augmente les drapeaux rouges
Contrairement aux acteurs de ransomwares typiques qui quittent après la cryptage, le groupe de brouillard a été vu établir la persistance même quelques jours après le déploiement du ransomware – une évolution plus courante dans les opérations d’espionnage.
À l’aide d’un service surnommé «SecurityHealthiron», probablement lié au lancement des services publics de commandement et de contrôle, les attaquants ont assuré l’accès continu.
« Les attaquants établissant de la persistance sur un réseau de victimes ayant déployé le ransomware n’est pas non plus quelque chose que nous verrions généralement dans une attaque de ransomware », ont déclaré les chercheurs. «Ces facteurs signifient qu’il pourrait être possible que cette entreprise ait en fait été ciblée à des fins d’espionnage.»
Couplées au mouvement latéral via Psexec et SMBEXEC, l’utilisation d’outils de transfert de fichiers comme Megasync et 7-Zip pour l’exfiltration et le nettoyage furtif des artefacts Syteca, l’opération ressemblait plus à une intrusion multi-étages planifiée qu’à une prise rapide de ransomware.
