Une récente analyse révèle que des applications de traduction compromises sont utilisées pour cibler les Tibétains dans une campagne de cyber espionnage initiée en septembre 2023.
Selon l’entreprise spécialisée en cybersécurité ESET, les pirates responsables seraient affiliés au groupe Evasive Panda, un groupe de hackers malveillants liés au gouvernement chinois. Ils viseraient des individus tibétains résidant en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.
La campagne inclut la corruption de logiciels pour Windows et macOS, ainsi que la compromission du site d’un organisateur du Monlam Festival, un événement religieux annuel se déroulant en Inde. Les assaillants ont injecté du code malicieux sur ce site, créant ainsi une attaque par empoisonnement d’eau, ciblant des groupes spécifiques via des plateformes populaires.
L’attaque était vraisemblablement planifiée pour coïncider avec le festival de Monlam en janvier et février 2024, afin de compromettre les visiteurs du site devenu un vecteur d’attaque. La chaîne d’approvisionnement d’un développeur d’applications de traduction en tibétain a également été corrompue.
Evasive Panda a recouru à divers outils malveillants déjà utilisés dans des attaques en Asie de l’Est, dont MgBot, une porte dérobée pour Windows utilisée par le groupe depuis au moins 2012 pour dérober des données et enregistrer les frappes clavier. En avril, ce malware a été utilisé contre une entreprise de télécommunications en Afrique.
MgBot cible principalement les applications chinoises populaires comme QQ, WeChat, QQBrowser et Foxmail. Il a été identifié une porte dérobée inédite nommée « Nightdoor », employée depuis 2020, notamment contre une cible de premier plan au Vietnam.
La campagne a été découverte en janvier, suite à la détection de code malicieux sur un site géré par le Kagyu International Monlam Trust, promouvant le bouddhisme tibétain. La compromission semble viser à exploiter l’intérêt pour le festival de Bodhgaya. En parallèle, une entreprise indienne développant un logiciel de traduction tibétain a été corrompue, infectant les systèmes Windows et macOS avec des téléchargeurs malveillants.
Un site d’information tibétain, Tibetpost, a également été compromis pour diffuser ces logiciels malveillants. L’utilisation de MgBot a permis d’attribuer ces attaques à Evasive Panda, un groupe actif depuis 2012 et réalisant des attaques alignées sur les intérêts géopolitiques de la Chine.