Ils s’infiltrent dans les réseaux des entreprises nippones ou de leurs partenaires et y restent parfois pendant des mois.
Les chercheurs en sécurité de Symantec viennent de découvrir une campagne d’ampleur de cyberespionnage ciblant les entreprises japonaises et leurs partenaires. Attribuée au groupe Cicada, alias APT10, cette opération a démarré au moins depuis mi-octobre 2019 et a fait des victimes dans au moins 17 pays du monde, dont la France, l’Allemagne et la Belgique. Des attaques se sont même déroulées en Chine.
Presque tous les secteurs économiques sont ciblés : automobile, vêtements, électronique, ingénierie, industrie, pharmaceutique, services, agences gouvernementales, etc. Certains réseaux n’ont été inspectés que durant quelques jours, d’autres pendant des mois. Pour s’y infiltrer et se mouvoir, les pirates se sont notamment appuyé sur l’injection de DLLs malveillantes et sur la faille ZeroLogon, qui permet de prendre le contrôle d’un domaine Active Directory.
L’attribution à Cicada s’appuie sur des similitudes au niveau des techniques d’obscurcissement et de programmation shellcode. Ce groupe de pirates est actif depuis 2009 et serait directement lié au gouvernement chinois.
Source : Symantec