- ESET a identifié Spellbinder et WizardNet, outils du groupe APT TheWizards aligné sur la Chine.
- Spellbinder permet à TheWizards d’exécuter des attaques « homme du milieu » locales pour rediriger le trafic vers un serveur malveillant.
- Ce serveur déploie WizardNet, une porte dérobée caractéristique de TheWizards, via des mécanismes légitimes de mise à jour de logiciels.
- ESET met en évidence les connexions entre TheWizards et Dianke Network Security Technology (UPSEC).
La-Femme (ESET) – Les chercheurs d’ESET ont étudié Spellbinder, un outil de mouvement latéral employé par le groupe malveillant TheWizards, aligné sur la Chine. Cet outil permet des attaques « homme du milieu » via l’usurpation d’adresses IPv6, redirigeant les mises à jour de logiciels légitimes vers des serveurs compromis. Ces derniers forcent alors le téléchargement et l’exécution de composants malveillants, déployant la porte dérobée WizardNet. Actif depuis au moins 2022, TheWizards cible principalement des particuliers, des sociétés de jeux d’argent et diverses entités aux Philippines, au Cambodge, aux Émirats arabes unis, en Chine continentale et à Hong Kong.
« Nous avons découvert et analysé ces outils pour la première fois en 2022. Nous avons observé une nouvelle version comportant quelques modifications, déployées sur les machines compromises en 2023 et en 2024 », explique Facundo Muñoz, chercheur chez ESET, qui a analysé Spellbinder et WizardNet. « Nos recherches ont permis d’identifier un outil conçu pour réaliser des attaques de type « homme du milieu » en exploitant l’usurpation d’identité IPv6 SLAAC. Ce procédé intercepte et manipule les paquets réseau, permettant aux attaquants de rediriger le trafic et de diffuser des mises à jour malveillantes vers des logiciels légitimes », précise Muñoz.
La charge finale, nommée par les chercheurs d’ESET WizardNet, est un implant modulaire qui se connecte à distance pour exécuter des modules .NET sur la machine compromise. Les chercheurs ont analysé un cas récent en 2024, où la mise à jour du logiciel Tencent QQ a été détournée. Cette version de WizardNet prend en charge cinq commandes, dont trois permettent d’exécuter des modules en mémoire, étendant ses capacités sur le système compromis.
Des liens semblent exister entre TheWizards et l’entreprise chinoise Dianke Network Security Technology (UPSEC), fournisseur de la porte dérobée DarkNights. Selon le NCSC britannique, cette dernière cible notamment les communautés tibétaines et ouïghoures. Bien que TheWizards utilise WizardNet, son serveur est également configuré pour déployer DarkNights sur les appareils Android.
Pour une analyse technique des outils de TheWizards, consultez l’article de blog d’ESET Research « Le groupe APT Wizards utilise l’usurpation d’identité SLAAC pour effectuer des attaques de type adversaire intermédiaire” sur WeLiveSecurity.com
À propos d’ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l’intelligence artificielle et l’expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l’UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d’utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s’adaptant constamment à l’évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.
