Source: Google Cloud Blog (Google Threat Intelligence, GTIG). Contexte: publication d’une analyse technique détaillant une campagne d’espionnage attribuée à UNC6384, groupe PRC‑nexus apparenté à TEMP.Hex/Mustang Panda, ciblant en priorité des diplomates et des organisations gouvernementales en Asie du Sud‑Est.

• Chaîne d’attaque: l’opération commence par un détournement de portail captif via un Attacker‑in‑the‑Middle qui redirige le test de connectivité des navigateurs (gstatic generate_204) vers un site contrôlé par l’attaquant. La page imite une mise à jour de plugin en HTTPS avec certificat Let’s Encrypt et propose un exécutable signé. Le premier étage, STATICPLUGIN, télécharge un « BMP » qui est en réalité un MSI, installe des fichiers Canon légitimes détournés et side‑loade le lanceur CANONSTAGER, lequel déchiffre et exécute en mémoire le backdoor SOGU.SEC.

• Déguisements et évasion: usage de certificats valides (site TLS Let’s Encrypt; binaire signé GlobalSign au nom de Chengdu Nuoxin Times Technology Co., Ltd), leurre de mise à jour Adobe plugin, DLL side‑loading via Canon IJ Printer Assistant Tool, exécution en mémoire, et trafic HTTPS chiffré vers le C2 pour limiter la détection réseau.

• Techniques du lanceur CANONSTAGER: API hashing et Thread Local Storage pour stocker des adresses de fonctions, procédure de fenêtre et message queue (WM_SHOWWINDOW) pour déclencher l’exécution indirecte, RC4 pour déchiffrer le payload et exécution via callback EnumSystemGeoID. Le tout vise la furtivité et la résistance à l’analyse.

• Attribution et portée: GTIG attribue la campagne à UNC6384 avec liens vers TEMP.Hex / Mustang Panda, notant des recoupements d’outils (SOGU.SEC), TTPs et infrastructures. Les cibles incluent des entités gouvernementales, principalement en Asie du Sud‑Est, avec infrastructure AitM probablement via des équipements d’edge compromis.

• IOCs et artefacts fournis (sélection) 🧾:

  • Domaines/URLs: mediareleaseupdates[.]com (Landing/AdobePlugins.html, style3.js, AdobePlugins.exe, 20250509.bmp)
  • IPs: Hébergement 103.79.120[.]72; C2 166.88.2[.]90
  • Hachages fichiers (SHA‑256): AdobePlugins.exe 65c42a7e…ec124; 20250509.bmp (MSI) 32998665…49916; cnmpaui.dll e787f64a…e4011; cnmplog.dat cc4db3d8…dd79; SOGU.SEC (mémoire) d1626c35…b933
  • Certificats: TLS CN=mediareleaseupdates[.]com (Let’s Encrypt R10, 2025‑05‑17 → 2025‑08‑15), empreinte SHA‑256 6D:47:32:12:…:68; Binaire signé par Chengdu Nuoxin Times Technology Co., Ltd (GlobalSign); empreintes SHA‑1 listées pour le domaine et AdobePlugins.exe
  • Persistence/artefacts hôte: Mutex KNbgxngdS; Clé RC4 mqHKVbHWWAJwrLXD; Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CanonPrinter="%APPDATA%\cnmpaui.exe"; Chemins %LOCALAPPDATA%\DNVjzaXMFO, C:\Users\Public\Intelnet, C:\Users\Public\SecurityScan; User‑Agent SOGU.SEC: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 10.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)
  • YARA: G_Downloader_STATICPLUGIN_1; G_Launcher_CANONSTAGER_1

• TTPs clés (MITRE‑style, non mappés dans le texte mais décrits) 🧩:

  • Accès initial: AitM via détournement de portail captif; redirections web
  • Exécution: binaire signé (downloader), DLL side‑loading, callbacks Windows, message queue
  • Défense évasion: certificats valides, API hashing, TLS (Thread Local Storage) pour adresses API, exécution en mémoire, payload chiffré RC4
  • Persistance: Run key HKCU
  • C2: HTTPS direct vers IP

Conclusion: article d’analyse de menace publié par GTIG visant à documenter une opération d’espionnage PRC‑nexus, ses TTPs, la chaîne d’infection multi‑étages et à fournir des indicateurs techniques complets.

🧠 TTPs et IOCs détectés

TTP

[‘T1557.002 - Adversary-in-the-Middle: Web Traffic’, ‘T1203 - Exploitation for Client Execution’, ‘T1218.011 - System Binary Proxy Execution: DLL Side-Loading’, ‘T1140 - Deobfuscate/Decode Files or Information’, ‘T1027 - Obfuscated Files or Information’, ‘T1071.001 - Application Layer Protocol: Web Protocols’, ‘T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder’, ‘T1573.001 - Encrypted Channel: Symmetric Cryptography’, ‘T1027.002 - Obfuscated Files or Information: Software Packing’, ‘T1105 - Ingress Tool Transfer’]

IOC

{‘domains’: [‘mediareleaseupdates[.]com’], ‘urls’: [‘mediareleaseupdates[.]com/Landing/AdobePlugins.html’, ‘mediareleaseupdates[.]com/style3.js’, ‘mediareleaseupdates[.]com/AdobePlugins.exe’, ‘mediareleaseupdates[.]com/20250509.bmp’], ‘ips’: [‘103.79.120[.]72’, ‘166.88.2[.]90’], ‘hashes’: {‘AdobePlugins.exe’: ‘65c42a7e…ec124’, ‘20250509.bmp’: ‘32998665…49916’, ‘cnmpaui.dll’: ’e787f64a…e4011’, ‘cnmplog.dat’: ‘cc4db3d8…dd79’, ‘SOGU.SEC’: ‘d1626c35…b933’}, ‘certificates’: [‘TLS CN=mediareleaseupdates[.]com (Let’s Encrypt R10, 2025‑05‑17 → 2025‑08‑15), empreinte SHA‑256 6D:47:32:12:…:68’, ‘Binaire signé par Chengdu Nuoxin Times Technology Co., Ltd (GlobalSign)’], ‘persistence’: [‘Mutex KNbgxngdS’, ‘Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CanonPrinter="%APPDATA%\cnmpaui.exe"’], ‘paths’: [’%LOCALAPPDATA%\DNVjzaXMFO\’, ‘C:\Users\Public\Intelnet\’, ‘C:\Users\Public\SecurityScan\’], ‘user_agent’: ‘Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 10.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729)’}

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/?hl=en