Le groupe de cyber espionnage NightEagle a été identifié comme responsable d’attaques sophistiquées visant les secteurs technologiques stratégiques chinois. Objectif : infiltrer des serveurs Exchange pour accéder à des données sensibles sur l’IA, les semi-conducteurs ou encore la recherche militaire.
Le spécialiste pékinois de la cybersécurité QiAnXin Technology affirme avoir débusqué les manœuvres de NightEagle, un groupe APT (Advanced Persistent Threat) ciblant les secteurs de haute technologie de la Chine et opérant probablement depuis l’Amérique du Nord. Dans un rapport disponible sur Github, RedDrip, une unité de renseignement sur les menaces appartenant à QiAnXin, explique comment les pirates ont compromis sur des serveurs Microsoft Exchange par le biais d’une chaîne d’exploitation sophistiquée de type zero day pour voler des données confidentielles situées dans des boîtes aux lettres.
Faux noms de domaine
NightEagle aurait eu recours à un mode opératoire difficile à tracer : pour chaque organisation ciblée, un nom de domaine dédié avait été enregistré, avec des adresses IP fréquemment renouvelées. L’un des domaines repérés, synologyupdates.com, imitait un site officiel de services NAS. Un trafic DNS anormal détecté par la solution NDR de QiAnXin a permis de remonter jusqu’à un processus malveillant baptisé SynologyUpdate.exe. Variante du logiciel d’exfiltration open source Chisel, ce malware établissait à travers une tâche planifiée une connexion sécurisée avec un serveur distant toutes les quatre heures. L’attaque aurait permis d’entrer et de sortir du réseau chinois pendant près d’un an.
