Un nouveau groupe de pirates informatiques alignés sur la Chine, baptisé LongNosedGoblin, infiltre les gouvernements d'Asie du Sud-Est et du Japon. ESET dévoile qu'il détourne notamment les politiques de groupe de Windows.
C'est l'histoire, bien réelle, d'un intrus particulièrement malin qui s'invite dans les systèmes informatiques gouvernementaux sans forcer la porte. Les chercheurs en cybersécurité d'ESET expliquent avoir identifié un nouveau groupe de cyberespionnage aligné qui sert les intérêts de la Chine. Baptisé LongNosedGoblin, ce collectif APT cible des entités gouvernementales asiatiques, le Japon notamment, avec un arsenal de malwares sophistiqués, NosyDoor, NosyHistorian et NosyStealer. Sa particularité consiste à détourner les stratégies de groupe Windows et d'utiliser OneDrive ou Google Drive comme serveurs de commande.
Les stratégies de groupe Windows détournées pour infiltrer des gouvernements
En février 2024, les chercheurs d'ESET étaient tombés sur un drôle de programme niché dans le réseau informatique d'une administration d'Asie du Sud-Est. Leur première surprise fut de découvrir que ce malware leur était totalement inconnu. Deuxième surprise, plus inquiétante encore : il n'est pas seul. Car toute une famille de logiciels malveillants s'est installée confortablement sur plusieurs machines de la même entité gouvernementale.
Le coup de génie de LongNosedGoblin est sans doute de pouvoir détourner les politiques (ou stratégies) de groupe de Windows. Pour simplifier, imaginez un trousseau de clés qui permet aux administrateurs informatiques de gérer tous les ordinateurs d'une entreprise depuis un point central. Les pirates ont réussi à mettre la main sur ce trousseau et l'utilisent pour distribuer leurs outils d'espionnage comme si c'était une mise à jour légitime. C'est malin.
L'enquête d'ESET Research révèle aussi que le groupe sévit depuis septembre 2023 minimum. Mais c'est en septembre dernier que son activité a explosé. LongNosedGoblin multiplie les intrusions simultanées, jongle entre des réseaux compromis et des services cloud comme Microsoft OneDrive ou Google Drive. Ces plateformes grand public deviennent leurs quartiers généraux pour piloter leurs opérations, ce qui permet de se fondre dans le trafic quotidien de millions d'utilisateurs légitimes.
Des malwares sophistiqués, carrément partagés entre plusieurs groupes de hackers chinois
L'un des outils de LongNosedGoblin, c'est NosyHistorian, littéralement « l'historien fouineur » Ce programme écrit en C#/.NET récupère l'historique de navigation sur Chrome, Edge et Firefox. En analysant les sites visités par chaque employé, les pirates identifient qui accède aux pages sensibles, comme les intranets gouvernementaux, les documents confidentiels et les systèmes internes. Ils ciblent ensuite ces machines précises avec leurs outils les plus puissants.
Entre ensuite en scène NosyDoor. Cette porte dérobée est un peu le summum de l'ingéniosité malveillante. Elle récupère le nom de l'ordinateur, le compte utilisateur, la version Windows, les programmes en cours d'exécution, puis transmet tout ça au serveur de commande et de contrôle (C&C). Ensuite, elle attend sagement ses instructions. Les pirates peuvent lui demander de voler tel fichier, supprimer telle donnée, exécuter telle commande. Le tout en passant par OneDrive ou Google Drive, comme un employé modèle qui utiliserait ces outils pour son travail.
Autre outil, NosyStealer vole les mots de passe stockés dans les navigateurs. NosyDownloader télécharge et lance des charges malveillantes directement en mémoire, sans laisser de trace sur le disque dur. NosyLogger enregistre chaque frappe au clavier. Et l'équipe dispose même d'un outil pour capturer vidéo et audio, probablement basé sur FFmpeg. Un véritable couteau suisse de l'espionnage numérique, avec une découverte troublante. NosyDoor circulerait entre plusieurs groupes de hackers chinois.
L'Europe serait aussi dans le viseur de LongNosedGoblin
ESET a également découvert une variante de NosyDoor dans une organisation européenne. Cette version utilise Yandex Disk, le service cloud russe, comme serveur de commande. Deux hypothèses se dégagent à ce stade. Soit LongNosedGoblin étend son terrain de jeu au-delà de l'Asie, soit plusieurs équipes de pirates se refilent les outils comme des recettes de cuisine.
Anton Cherepanov et Peter Strýček, les deux chercheurs d'ESET qui ont mené l'enquête pensent que l'apparition du mot « Paid » (payé, en français), qui apparaît dans le code de NosyDoor, suggère que cet outil pourrait être vendu ou loué à d'autres acteurs malveillants. Une sorte de cybercriminalité-en-tant-que-service, en quelque sorte. La société russe Solar avait d'ailleurs documenté un groupe nommé Erudite Mogwai utilisant un logiciel similaire.
Il est toutefois impossible de confirmer qu'il s'agit du même collectif. Les techniques diffèrent suffisamment pour maintenir le doute. Ce qui est certain, c'est que le cyberespionnage étatique évolue rapidement. Les groupes APT (Advanced Persistent Threat, comprenez « menace persistante avancée ») ne travaillent plus forcément en vase clos. Ils partagent leurs trouvailles, mutualisent leurs ressources, et exploitent intelligemment les services cloud grand public pour brouiller les pistes. Face à cette menace protéiforme, les gouvernements ont intérêt à serrer la vis de leur cybersécurité.
