Cette campagne de piratage chinoise utilise Windows et Google Drive pour voler des données sensibles
Des hackers liés à la Chine mènent une nouvelle campagne d’espionnage informatique. Leur technique consiste à se cacher dans des services légitimes comme Windows et Google Drive. Cette méthode leur permet de passer sous les radars et de voler des données sensibles.
Les cyberattaques visant les institutions publiques et les entreprises se multiplient depuis plusieurs années. Les groupes de pirates utilisent des techniques toujours plus sophistiquées pour infiltrer les réseaux informatiques. Leur objectif est souvent d'accéder à des informations sensibles sans être détectés le plus longtemps possible.
Comme nous l’expliquions récemment avec le malware Gootloader, certains pirates utilisent déjà des méthodes ingénieuses pour tromper les systèmes de sécurité. Ce logiciel malveillant se cache par exemple dans des archives ZIP volontairement corrompues afin d’échapper à l’analyse des antivirus. D’autres attaques exploitent directement des services légitimes du système d’exploitation pour masquer leurs activités. Cette approche rend la détection beaucoup plus difficile pour les équipes de cybersécurité.
Le groupe Silver Dragon détourne Windows et Google Drive pour espionner des gouvernements
Une nouvelle campagne d’espionnage illustre parfaitement cette stratégie. Selon un rapport de l’entreprise de cybersécurité Check Point, un groupe de pirates baptisé Silver Dragon mène depuis au moins 2024 des attaques ciblant des institutions gouvernementales en Europe et en Asie. Les victimes se trouvent notamment en Pologne, Hongrie, Italie, Russie, Japon, Myanmar et Malaisie.
Les chercheurs pensent que ce groupe serait lié à APT41, une organisation de pirates souvent associée à des opérations d’espionnage soutenues par l’État chinois. Pour rester discret, le malware utilisé par les attaquants s’appuie sur un outil appelé GearDoor. Ce programme agit comme une porte dérobée et permet aux pirates de contrôler les machines infectées à distance.
L’une des particularités de cette attaque est l’utilisation de Google Drive comme infrastructure de commande. Les ordinateurs compromis créent automatiquement un dossier dans un compte Google Cloud afin d’y envoyer des informations et de recevoir des instructions. Les pirates modifient aussi certains services légitimes de Windows, comme Windows Update, le Bluetooth ou des composants du framework .NET, afin d’exécuter leur code malveillant. En se dissimulant dans ces services utilisés quotidiennement par le système, les attaquants parviennent à se fondre dans l’activité normale des machines et à rester invisibles plus longtemps.
