Alors que le paysage de la menace cyber semble dominé par des acteurs liés au gouvernement de Moscou – notamment le groupe TA499 aussi connu sous le nom de Vovan et Lexus – les dernières recherches menées par Proofpoint, l’un des spécialistes dans les domaines de la conformité et de la cybersécurité, démontrent une recrudescence dans l’utilisation de logiciels malveillants ciblant des organisations internationales ayant des activités en Chine.
Tribune – Dans les campagnes d’attaques observées par Proofpoint, les sujets et le contenu des courriels sont généralement rédigés en chinois et portent sur des thèmes liés à l’activité de l’organisme (factures, paiements, nouveaux produits). Les utilisateurs ciblés ont des noms en chinois, orthographiés avec des caractères chinois, ou des adresses électroniques d’entreprises spécifiques qui semblent correspondre aux activités des entreprises en Chine.
Les méthodes incluent notamment des tentatives de diffusion du cheval de Troie d’accès à distance (RAT, Remote Access Trojan) Sainbox :