Une équipe de chercheurs de Symantec a découvert une porte dérobée furtive, nommée Daxin, qu'elle considère comme le malware le plus avancé jamais observé provenant d'un acteur lié à la Chine.
Cette nouvelle menace a été repérée par l'équipe Symantec Threat Hunter, de Broadcom Software, qui vient de dévoiler une campagne d'espionnage menée contre des gouvernements et d'autres infrastructures critiques. Cet outil espion, un malware sous forme de porte dérobée nommé Daxin, serait exploité par des acteurs rattachés à la Chine depuis 2013. Il inquiète, dans le sens où il est d'une complexité technique encore jamais atteinte par ceux qui l'utilisent.
Daxin, le malware espion qui brille par son aspect furtif
Le malware Daxin est une porte dérobée rootkit (le rootkit étant le composant du malware qui lui permet d'être indétectable aux yeux des outils de protection traditionnels) qui semble hautement sophistiqué, à la fois complexe et furtif. Il permet aux attaquants informatiques de communiquer, à distance, avec des appareils sécurisés qui ne sont pas nécessairement connectés physiquement à Internet.
Le logiciel malveillant Daxin donne la possibilité aux pirates de mener différentes opérations de communication, et surtout de collecter les données de l'appareil infecté. Son aspect quasi-indétectable lui permet de creuser profondément dans le réseau de sa cible pour en exfiltrer les données, sans éveiller les soupçons.
Daxin prend plus précisément la forme d'un pilote Windows en mode noyau, qui intègre ces fameuses fonctionnalités de communication. Ces dernières permettent aux attaquants d'infecter des réseaux hautement sécurisés. Il est extrêmement sophistiqué, dans le sens où il évite de démarrer ses propres services réseau.
Un malware capable de créer un nouveau canal de communication sur les machines infectées
Plus concrètement, Daxin abuse de tous les services légitimes qui sont déjà en cours d'exécution sur l'ordinateur infecté. Il détourne également les connexions TCP/IP légitimes, ce protocole cœur de l'architecture d'Internet qui permet la communication entre les équipements au sein d'un même réseau. Daxin surveille tout le trafic TCP entrant, et en détournant les connexions légitimes, il peut masquer ses communications dans ce que l'on pourrait appeler le « trafic réseau normal ».
Nous le disions, c'est un furtif. Il est même capable de créer un nouveau canal de communication sur plusieurs machines infectées. Pour schématiser la chose, il finit par laisser le loisir aux attaquants de se connecter périodiquement à des ordinateurs compromis, ce qui est propre au cyberespionnage.
Le premier échantillon connu du malware remonterait à 2013. Certaines techniques de Daxin sont comparables à celles utilisées par un ancien logiciel malveillant, Exforel (ou Zala), notamment celles de mise en réseau. Symantec fait aussi le rapprochement avec Owprox, déployé en lieu et place de Daxin lors d'une attaque menée en 2019 contre une entreprise, connu pour être exploité par des acteurs chinois du cyberespionnage. En 2020, Daxin et Owprox ont carrément été impliqués sur une attaque touchant un même ordinateur.
Source : Blog Symantec
