Le groupe de hackers APT41, aussi connu sous les noms Winnti, Barium ou encore Double Dragon, a mené de 2019 à aujourd’hui une vaste opération d’espionnage pour le compte de Pékin. Les pirates sont également connus pour avoir ciblé l’industrie du jeu vidéo, injectant des logiciels malveillants dans certains titres grand public. En août, l’entreprise de cybersécurité Group-IB a détecté de nouvelles activités de la part du groupe, rapporte The Hacker News. Leurs dernières attaques auraient touché 13 organisations à travers le monde au cours de l’année 2021.

Des attaques qui touchent plusieurs secteurs

Les États-Unis, la Chine, l’Inde, le Vietnam et Taiwan font partie des pays dans lesquels des organisations ont été ciblées par des cyberattaques d’APT41. Selon Group-IB, les secteurs de la santé, la logistique, l’éducation, l’aviation ainsi que des médias ont été touchés. La compagnie aérienne Air India a notamment été attaquée en juin 2021, un an après les conflits frontaliers entre l’Inde et la Chine, dans le cadre d’un assaut portant le nom de code ColumnTK. Trois autres vagues majeures d’attaques ont été détectées : DelayLinkTK, Mute-Pond et Gentle-Voice.

Les hackers d’APT41 ont des méthodes bien définies pour mener leurs attaques. Ils ont principalement recours aux hameçonnages et exploitent les vulnérabilités des systèmes ciblés. Le groupe effectue des attaques de type « watering hole », ou attaque par point d’eau, qui consiste à tromper les utilisateurs en infectant un site sur lequel ils se rendent fréquemment. Ils exercent aussi des attaques sur la chaîne logistique, c’est-à-dire qu’ils s’en prennent d’abord aux fournisseurs d’une entreprise, pour ensuite l’atteindre directement.

D’après Group-IB, la méthodologie d’APT41 est inhabituelle. Il utilise une tactique qui permet aux attaques du groupe de passer presque inaperçues. Pour ce faire les hackers injectent des requêtes SQL, langage informatique utilisé pour exploiter les bases de données, dans des noms de domaine ciblés. De cette manière, ils infiltrent les réseaux des victimes et y diffusent en petits morceaux une balise, appelée Cobalt Strike, pour rester sous les radars. C’est cette balise qui va introduire le code malveillant et l’exécuter.

Un groupe de hackers activement recherché

Group-IB explique avoir identifié 106 serveurs uniques à l’origine de ces balises Cobalt Strike entre 2020 et fin 2021. Ces serveurs servent à commander et contrôler les attaques. « Par le passé, cet outil était apprécié des bandes de cybercriminels ciblant les banques, alors qu’aujourd’hui, il est populaire auprès de divers acteurs de la menace cybercriminelle, quelle que soit leur motivation, y compris les tristement célèbres opérateurs de ransomware », a détaillé Nikita Rostovtsev, analyste chez Group-IB.

Pour confirmer l’origine des attaques, Groupe-IB a été capable de déterminer qu’elles avaient lieu entre 9 heures du matin et 19 heures. Le fuseau horaire qui correspond à la période d’activité des hackers des pays comme la Malaisie, Singapour, une partie de la Russie, et bien entendu la Chine, suspectée d’être à l’initiative des attaques.

Certains membres du groupe de hackers sont connus des autorités américaines et sont activement recherchés pour avoir mené plusieurs attaques aux États-Unis. À cette occasion, un des hackers s’était ouvertement vanté d’être rattaché au ministère de la Sécurité d’État chinois, renforçant les soupçons des autorités américaines.