Détection des Attaques Billbug : Acteurs d’Espionnage Liés à la Chine Ciblent des Organisations d’Asie du Sud-Est
Table des matières :
Le rapport sur l’activité APT d’ESET pour le T2-T3 2024 met en évidence les groupes affiliés à la Chine en tête des APT opérations mondiales, avec des campagnes visant la collecte de renseignements parmi les menaces les plus courantes et persistantes. Le groupe d’espionnage lié à la Chine, connu sous le nom de Billbug, a été observé en train de pénétrer plusieurs organisations en Asie du Sud-Est à travers divers secteurs industriels d’août 2024 à février 2025, en utilisant de nouveaux outils personnalisés, tels que des chargeurs, des malwares voleurs d’informations, et un utilitaire reverse‑SSH.
Détecter les attaques de Billbug par des acteurs de menace liés à la Chine
Avec l’augmentation continue des tensions mondiales, les acteurs de menace parrainés par des États deviennent plus actifs et sophistiqués dans leurs méthodes. La cyber-espionnage est au cœur des préoccupations, avec des attaques de plus en plus ciblées et difficiles à détecter. Un exemple récent est une campagne du groupe Billbug lié à la Chine, qui se concentre sur les organisations à travers l’Asie.
Pour surpasser les menaces émergentes et rester en avance sur les potentielles attaques de Billbug contre votre organisation, la Plateforme SOC Prime offre un ensemble de règles Sigma pertinentes traitant des TTP des attaquants. Appuyez sur le bouton Explore Detections ci-dessous pour accéder immédiatement à l’ensemble des règles dédiées.
Les règles sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake et sont mappées à MITRE ATT&CK® pour simplifier l’investigation des menaces. Les détections sont également enrichies de métadonnées extensives, y compris CTI des liens, des chronologies d’attaques, des recommandations de triage, et plus encore.
Les professionnels de la sécurité cherchant plus de contenu de détection traitant des TTP utilisés par des acteurs soutenus par des États peuvent naviguer sur le Threat Detection Marketplace en utilisant le tag “APT” pour plonger dans une collection plus large d’algorithmes de détection et d’intel sur les menaces en temps réel, soutenue par une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse aux menaces automatisée, et la détection avancée des menaces.
Analyse des attaques de Billbug
Le groupe soutenu par la Chine, suivi sous le nom de Billbug (alias Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon, ou Thrip), a mené une série d’attaques de cyber-espionnage contre des organisations d’Asie du Sud-Est, infiltrant un ministère gouvernemental, une agence de contrôle du trafic aérien, un fournisseur de télécommunications, et une entreprise de construction. Les adversaires ont également pénétré une agence de presse dans un pays d’Asie du Sud-Est et un opérateur de fret aérien dans un pays voisin, en utilisant une suite d’outils personnalisés, y compris des chargeurs, des voleurs de crédentiels, et un utilitaire reverse‑SSH.
Billbug est actif dans le domaine des menaces cybernétiques depuis au moins 2009. Auparavant, Billbug a été observé utilisant PsExec pour déployer Infostealer. Catchamas, menant à la découverte d’autres intrusions aux États-Unis et en Asie du Sud-Est dans les secteurs de la défense, géospatial, et télécoms. Depuis 2019, Billbug a utilisé des portes dérobées personnalisées comme Hannotog et Sagerunex, aux côtés de shells de persistance évolutifs pour cibler des entités militaires, médiatiques, et éducatives à travers l’Asie. Leurs opérations ont réussi à frapper des organismes d’État, des cibles manufacturières, télécoms, et médiatiques à travers les Philippines, le Vietnam, Hong Kong, et Taïwan. En 2022, le groupe a notamment pénétré une autorité de certification, soulevant des préoccupations quant à un possible usage abusif de certificats numériques pour des attaques furtives.
Parmi certaines des intrusions du groupe, les attaquants ont abusé d’exécutables légitimes de Trend Micro et Bitdefender pour charger de manière indirecte des DLL malveillantes. Des variantes de log.dll et un autre module, sqlresourceloader.dll, ont également été vus chargés de manière indirecte. La dernière recherche de Symantec révèle que lors des attaques contre l’Asie du Sud-Est, le groupe a utilisé ChromeKatz et CredentialKatz pour récolter des crédentiels et cookies Chrome, avec un écouteur reverse-SSH personnalisé sur le port 22. De plus, les adversaires ont exploité l’outil de tunneling public Zrok P2P pour exposer des services internes, et datechanger.exe pour falsifier les horodates de fichiers et contrecarrer l’analyse forensique.
Une hausse de l’activité de cyber-espionnage liée à des acteurs soutenus par la Chine continue de susciter des préoccupations à travers le paysage mondial de la cybersécurité. Le groupe APT Billbug, actif depuis au moins 2009, a intensifié ses opérations visant des secteurs critiques à travers l’Asie du Sud-Est, tels que le gouvernement, les télécommunications, l’aviation et les médias. Utilisant des outils personnalisés, des voleurs de crédentiels, des écouteurs reverse-SSH, et des malwares chargés de manière indirecte, le groupe démontre un niveau constant de furtivité et de persistance. Cela souligne le besoin urgent pour les organisations de renforcer leurs défenses et de rester en avance sur les tactiques APT en évolution. Les organisations peuvent se fier à la suite complète de produits de SOC Prime, soutenue par l’IA et fusionnant des technologies de pointe, pour optimiser le risque lié à la posture de cybersécurité de l’organisation.
