© Pexels / Ricardo Ortiz
© Pexels / Ricardo Ortiz

Inconnu alors qu'il sévit depuis une dizaine d'années, le groupe de hackers Aoqin Dragon vise des cibles sensibles chez des voisins de la Chine.

Un groupe de pirates chinois nommé Aoqin Dragon a mené des campagnes de cyberespionnage en toute discrétion pendant près d'une décennie.

Trois techniques de piratage

Selon les experts en sécurité informatique de la société SentinelLabs, ce groupe conduit de telles activités depuis au moins 2012. Auraient été visés des gouvernements, des organismes éducatifs et des entreprises de télécommunication installées à Singapour, à Hong Kong, au Viêt Nam, au Cambodge et en Australie.

Au fil des années, les méthodes d'Aoqin Dragon ont évolué. De 2012 à 2015, les pirates se sont servis de vulnérabilités dans Microsoft Office telles que CVE-2012-0158 et CVE-2010-333… La cible qui ouvrait un document vérolé qui lui était envoyé se retrouvait alors infectée.

De 2015 à 2018, le groupe a commencé à miser sur une technique également bien connue : masquer les exécutables de programmes malveillants avec de fausses icônes antivirus pour inciter les utilisateurs à les lancer. Une fois le fichier exécuté, les hackers pouvaient activer leurs malwares au compte-gouttes sur les appareils visés.

© SentinelLabs
© SentinelLabs

Et, depuis 2018, les pirates se sont plutôt tournés vers l'utilisation d'un fichier de raccourci de disque amovible qui, lorsqu'il est cliqué, effectue un détournement de DLL et installe une porte dérobée chiffrée sur le terminal.

Une porte dérobée personnalisée

Deux types de porte dérobée sont exploités par Aoqin Dragon : Mongall et Heyoka, connus depuis plus de 10 ans dans le secteur. Mais les pirates ont modifié Heyoka pour le personnaliser et le rendre encore plus dangereux. À l'origine, il utilise des requêtes DNS usurpées pour créer un tunnel de communication bidirectionnel afin de faire fuiter des données. Cette version améliorée le rend également capable de créer ou d'arrêter un processus, de créer et de supprimer un fichier ou dossier, de rechercher un dossier dans le système, d'obtenir des informations sur les processus et services…

SentinelLabs explique que le groupe est passé sous les radars grâce à son changement de techniques utilisées et qu'il va probablement encore faire évoluer ses procédures avec l'exposition dont il fait désormais l'objet. Les analystes de la firme estiment qu'il est possible qu'Aoqin Dragon soit lié à un autre groupe historique de hackers chinois, Naikon APT, qui sévit depuis plus de dix ans, notamment en Asie.