Zscaler ThreatLabz a publié un rapport détaillant deux campagnes APT sophistiquées, nommées Operation GhostChat et Operation PhantomPrayers, qui ciblent la communauté tibétaine à l’occasion du 90e anniversaire du Dalaï Lama.
Les acteurs de menace liés à la Chine ont compromis des sites web légitimes et ont utilisé des techniques de social engineering pour distribuer des applications vérolées contenant les malwares Ghost RAT et PhantomNet. Ces campagnes utilisent des chaînes d’infection multi-étapes sophistiquées, exploitant des vulnérabilités de DLL sideloading, des injections de code, et des charges utiles chiffrées.
Les attaques commencent par des vulnérabilités de DLL sideloading dans des applications légitimes telles que Element.exe et VLC.exe. Les chargeurs de la première étape utilisent des API Windows de bas niveau et un mappage ntdll frais pour contourner la détection par EDR, injecter du shellcode dans ImagingDevices.exe, et établir une persistance dans le registre.
Les chargeurs réfléchissants de la deuxième étape décompressent et exécutent les charges utiles finales. Ghost RAT utilise un chiffrement personnalisé de type RC4 avec des en-têtes de paquet ‘KuGou’ pour la communication C2, tandis que PhantomNet emploie un chiffrement RC4/AES à double couche et une architecture de plugins modulaires.
Cet article est une analyse de menace visant à informer sur les techniques avancées utilisées par ces campagnes et leur impact potentiel sur la sécurité des systèmes ciblés.
🧠 TTPs détectés
TTP
[‘T1195.002: Compromise of legitimate websites’, ‘T1566: Phishing (Social Engineering)’, ‘T1055: Process Injection’, ‘T1574.002: DLL Sideloading’, ‘T1071.001: Application Layer Protocol’, ‘T1027: Obfuscated Files or Information’, ‘T1140: Deobfuscate/Decode Files or Information’, ‘T1059: Command and Scripting Interpreter’, ‘T1547: Boot or Logon Autostart Execution’, ‘T1573: Encrypted Channel’]
🔗 Source originale : https://www.zscaler.com/blogs/security-research/illusory-wishes-china-nexus-apt-targets-tibetan-community