Une campagne de spam baptisée « Shanghai Yakai » sème le trouble, avec des e-mails contenant des pièces jointes Excel inoffensives en apparence. Les experts d'Infoblox Threat Intelligence s'interrogent sur les véritables motivations de ces attaques.
Entre août et décembre 2024, les chercheurs d'Infoblox Threat Intelligence ont mené une vaste enquête sur différentes campagnes de spam malveillant en Asie. Parmi leurs découvertes, une mystérieuse série d'attaques qui pourrait être attribuée à une société de fret chinoise, Shanghai Yakai, a de quoi intriguer les experts.
Cette campagne se distingue par sa sophistication et son apparente absence d'objectif clair, contrairement aux techniques habituelles d'hameçonnage.
Le phishing par QR code, une nouvelle menace venue de Chine
Les cybercriminels ont perfectionné leurs méthodes d'usurpation de domaines pour contourner les systèmes de sécurité, ça, c'est un secret pour personne.
Ils exploitent notamment d'anciens domaines abandonnés pour rendre leurs e-mails plus crédibles et échapper aux filtres anti-spam traditionnels. Cette technique reste malheureusement très efficace malgré les protections existantes.
En Chine, les attaquants ont développé une approche particulièrement sophistiquée en utilisant des QR codes malveillants dans leurs pièces jointes. Ces codes redirigent les victimes vers des sites de phishing, pendant que des algorithmes de génération de domaines créent des adresses éphémères pour éviter la détection.
Le Japon n'est pas non plus épargné, avec des campagnes ciblant spécifiquement les utilisateurs de grandes marques, comme Amazon. Les pirates utilisent ici des systèmes de distribution de trafic avancés pour sélectionner leurs victimes selon des critères précis, tout en évitant d'éveiller les soupçons des entreprises de cybersécurité.
Muddling Meerkat, l'acteur capable de manipuler le Grand Firewall chinois
La campagne Shanghai Yakai se démarque par son caractère assez énigmatique. Car contrairement aux autres attaques qui affichent clairement leurs intentions frauduleuses, celle-ci se contente d'envoyer régulièrement des fichiers Excel apparemment anodins, sans demande explicite ni tentative d'extorsion.
On comprend bien que tout cela laisse les experts perplexes quant à leurs véritables objectifs. Cette approche inhabituelle pourrait d'ailleurs masquer une stratégie plus sophistiquée, potentiellement liée au groupe pirate Muddling Meerkat, découvert un peu plus tôt, en avril dernier.
Ce collectif de hackers avait démontré sa capacité à manipuler le Grand Firewall chinois, ce système de censure et de surveillance d'Internet mis en place par le gouvernement de l'empire du Milieu pour contrôler les flux d'informations entrant et sortant du pays.
Infoblox recommande aujourd'hui aux organisations de renforcer leurs systèmes de détection et de protection, tout en sensibilisant leurs utilisateurs aux nouvelles formes de cyberattaques, qui se font toujours plus subtiles.
