Le groupe chinois de cyberespionnage Billbug a réorganisé sa boîte à outils d'attaque avec d'autres charges utiles de logiciels malveillants dans le cadre d'une campagne de grande envergure ciblant plusieurs entreprises en Asie du Sud-Est. Ces derniers outils, qui comprennent des voleurs d'informations d'identification, un shell inversé et une porte dérobée mise à jour, ont été observés dans des attaques entre août 2024 et février 2025. "Les cibles comprenaient un ministère, une entreprise de contrôle du trafic aérien, un opérateur de télécommunications et une entreprise de construction", ont écrit les chercheurs de la division Symantec de Broadcom dans un rapport. "En outre, le groupe a organisé une intrusion contre une agence de presse située dans un autre pays d'Asie du Sud-Est et une organisation de fret aérien située dans un autre pays voisin."

Billbug, également connu dans le secteur de la sécurité sous les noms de Lotus Blossom, Lotus Panda, Bronze Elgin ou Spring Dragon, est un cybergang soupçonné d'avoir des liens avec le gouvernement chinois et qui s'efforce d'obtenir des renseignements d'autres pays asiatiques. Il opère depuis au moins 2009, ciblant principalement des agences gouvernementales et militaires. Lors des dernières campagnes, le groupe a étendu ses attaques à d'autres secteurs, notamment l'industrie manufacturière, les télécommunications et les médias. Les pays et territoires les plus fréquemment ciblés par Billbug sont les Philippines, le Vietnam, Hong Kong, Macao, l'Indonésie, la Malaisie et Taïwan.

DLL sideloading, une variante de porte dérobée

Le principal outil malveillant de Billbug est un cheval de Troie d'accès à distance (RAT) personnalisé connu sous le nom de Sagerunex, qu'il utilise depuis au moins 2016. Une autre porte dérobée personnalisée est connue sous le nom de Hannotog et, par le passé, il a également utilisé le programme trojan Trensil, également identifié en tant qu'Elise. La dernière campagne étudiée par Symantec, mais également documentée par Cisco Talos en février dernier, présentait une déclinaison de Sagerunex déployée par un chargeur de logiciels malveillants qui profite des exécutables légitimes de Trend Micro et Bitdefender - deux fournisseurs de sécurité - pour effectuer un sideloading de DLL.

Il s'agit d'une technique qui exploite le fait que certains exécutables binaires sont conçus pour charger des DLL (bibliothèques) portant des noms spécifiques à partir du même répertoire de travail. En plaçant une bibliothèque logicielle malveillante portant le bon nom avec l'exécutable vulnérable dans le même répertoire, puis en l'exécutant, son code sera chargé de manière latérale dans la mémoire. L'avantage pour les attaquants est que les produits de sécurité des terminaux bout de réseau sont beaucoup moins susceptibles de déclencher des détections sur l'exécution de code effectuée par des fichiers exécutables officiels et signés numériquement, en particulier ceux qui appartiennent à des produits de sécurité, comme c'est le cas avec les dernières attaques de Billbug. La dernière variante de porte dérobée Sagerunex du cybergang met en place une persistance en s'enregistrant en tant que service système et en stockant son contenu dans le registre. Le chargement latéral de DLL a également été observé dans des attaques récentes contre les secteurs de la santé et des produits pharmaceutiques par le biais d'une nouvelle charge utile de malware baptisée ResolverRAT, comme l'a signalé l'entreprise de sécurité Morphisec il y a une quinzaine de jours.

Des voleurs de données d'identification en action

Les chercheurs de Symantec ont également observé deux programmes de vol d'informations d'identification, baptisés ChromeKatz et CredentialKatz. Tous deux sont conçus pour voler ce type de données stockées dans Google Chrome, ChromeKatz étant également capable de voler les cookies de session. Ces derniers peuvent être placés dans les navigateurs pour indiquer les sessions déjà authentifiées. Les attaquants peuvent les utiliser pour contourner les processus de connexion normaux et s'authentifier directement en tant qu'utilisateurs. Une autre nouvelle charge utile déployée par Billbug lors de la récente campagne était un outil de shell inversé capable d'écouter les connexions SSH entrantes sur le port 22. Les attaquants ont également utilisé le programme open-source Zrok, qui permet aux utilisateurs d'exposer des services à Internet via un réseau peer-to-peer sécurisé et chiffré.

Un autre outil accessible au public observé par Symantec est datechanger.exe, un programme qui peut modifier l'horodatage des fichiers afin de compliquer l'analyse des incidents et les enquêtes forensics. Le rapport de Symantec contient des indicateurs de compromission sous la forme de hachs de fichiers pour tous les nouveaux outils observés, ce qui peut aider les équipes de sécurité à traquer les compromissions potentielles de Billbug au sein de leurs propres réseaux.