Hacktu Magazine Le magazine de la cybersécurité
Hodur est le nom d’un nouveau malware identifié aux activités du groupe APT Mustang Panda. Ce nouveau malware présente de grandes similarités avec Korplug ou PlugX, d’autres malwares qui était utilisés depuis juillet 2021 par les pirates chinois. Même si la nouvelle campagne observée par les experts de ESET touche principalement des victimes situées en Asie de l’Est et du Sud-Est, plusieurs d’autres victimes en Europe – Grèce, Russie, Chypre et Afrique ont identifiées.
Les experts estiment que cette campagne de cyber espionnage aurait démarré depuis le dernier trimestre de l’année 2021 et se poursuit jusqu’à maintenant, contre organisations gouvernementales et des ONG.
Les attaques réalisées utilisent pour la plupart contexte particulier de guerre en Ukraine ou d’autres événements d’actualités comme medium pour propager diffuser le malware.
Des méthodes anti-analyses avancées
La dernière campagne utilise comme vecteur de compromission, des documents piégés. Ces fichiers se rapportent à des événements populaires ou actualités chaudes telles que la pandémie de COVID-19, le guerre en Ukraine, etc. Globalement, l’activité du groupe APT repose sur cette méthode, dans l’objectif d’infecter les machines des victimes. Par ailleurs, chaque étape du déploiement des logiciels malveillants comporte des méthodes anti-analyse mises en œuvre, telles que l’obscurcissement du flux de communication, ce qui représente une évolution des capacités par rapport aux précédents malwares mis en œuvre par le groupe. Mais selon toute évidence, il s’agit du même groupe de hacker, tant les similitudes avec des moyens utilisés et des TTP sont nombreuses.
Similitudes de code et autres facteurs d’attribution entre les campagnes et les logiciels malveillants
Le logiciel malveillant déployé dans la campagne présente de nombreuses fonctionnalités de la variante THOR, et les chercheurs l’ont nommé Hodur. Ceux-ci incluent l’utilisation des mêmes clés, le format des serveurs de commande et de contrôle, les configurations, l’utilisation de la classe de fenêtre statique.
L’infection est créée avec des fonctions et des capacités pour exécuter des commandes. Les pirates peuvent permettre au malware de collecter des données sur le système, de lire pour écrire des fichiers arbitraires, d’exécuter des commandes. Le logiciel malveillant peut également lancer la session remove cmd.exe sur le système ciblé.
La nouvelle campagne semble également avoir les mêmes cibles. La plupart des victimes visées par cet APT se trouvent en Asie de l’Est et du Sud-Est. La grande majorité des cibles sont situées en Mongolie au Vietnam, au Myanmar. Mustang Panda utilise même des chargeurs personnalisés et est connu pour créer ces différentes versions du malware Korplug. Cependant, le léger changement apporté aux techniques d’anti-analyse rend plus difficile pour les chercheurs de logiciels malveillants d’enquêter sur ces éléments malveillants.
