Selon Hunt.io, APT SideWinder a conduit “Operation SouthNet”, une campagne de phishing et credential harvesting visant cinq pays d’Asie du Sud (Bangladesh, Népal, Myanmar, Pakistan, Sri Lanka), avec un rythme soutenu de nouveaux domaines malveillants toutes les 3 à 5 journées entre mai et septembre 2025.
🎯 Ciblage et ampleur
- Pakistan: environ 40% des domaines ciblés, avec un accent sur les secteurs maritime, aérospatial et télécom.
- Usurpation de portails gouvernementaux, d’organisations défense et maritimes.
- Déploiement de 12+ documents piégés, répertoires ouverts exposant des échantillons de malware, et réutilisation d’infrastructures C2 de campagnes SideWinder antérieures.
🧪 Infrastructure et vecteurs
- Abus de plateformes d’hébergement gratuites: Netlify, pages.dev, workers.dev, b4a.run.
- Faux portails Zimbra et Outlook clonés avec JavaScript embarqué pour l’exfiltration d’identifiants.
- Paramètres email Base64 pour le suivi des victimes et redirections étagées.
- Exfiltration directe par requêtes POST vers des serveurs attaquants, sans redirection.
- Tokens CSRF hardcodés utiles au clustering d’infrastructure.
- Présence de malware mobile Android ciblant le Népal.
🧩 IOCs (indicateurs d’attaque)
- Plateformes abusées: Netlify, pages.dev, workers.dev, b4a.run.
- Serveurs d’exfiltration:
drive-nepal-gov[.]com,myanmar-org-mail[.]com,technologysupport[.]help. - Répertoires ouverts et IPs:
themegaprovider[.]ddns[.]net(47.236.177.123),gwadarport[.]ddns[.]net(31.14.142.50). - Recoupements d’infrastructure: IP 46.183.184.245 liée à des domaines C2 historiques
govmm[.]org,govnp[.]org,andc[.]govaf[.]org.
🛠️ TTPs observées
- Phishing via portails webmail clonés (Zimbra/Outlook).
- Vol d’identifiants par POST direct vers serveurs contrôlés par l’attaquant.
- Traçage des victimes avec paramètres Base64.
- Redirections multi-étapes et répertoires ouverts pour le staging de malwares (DLL, EXE, archives piégées).
- Réutilisation d’infrastructure C2 et tokens CSRF hardcodés comme artefacts de corrélation.
- Malware Android ciblant le Népal.
- Cadence de création de domaines malveillants: toutes les 3–5 jours (mai–sept. 2025).
🔎 Méthodologie de cartographie
- Utilisation de requêtes HuntSQL pour pivoter sur serveurs d’exfiltration, adresses IP et patterns de code afin de dresser la topologie complète de l’attaque.
Il s’agit d’une analyse de menace visant à documenter l’infrastructure, les IOCs et les TTPs de l’opération “SouthNet” attribuée à APT SideWinder.
🧠 TTPs et IOCs détectés
TTPs
[‘Phishing via portails webmail clonés (Zimbra/Outlook)’, ‘Vol d’identifiants par POST direct vers serveurs contrôlés par l’attaquant’, ‘Traçage des victimes avec paramètres Base64’, ‘Redirections multi-étapes’, ‘Répertoires ouverts pour le staging de malwares (DLL, EXE, archives piégées)’, ‘Réutilisation d’infrastructure C2’, ‘Tokens CSRF hardcodés comme artefacts de corrélation’, ‘Malware Android ciblant le Népal’, ‘Cadence de création de domaines malveillants: toutes les 3–5 jours’]
IOCs
{‘domains’: [‘drive-nepal-gov[.]com’, ‘myanmar-org-mail[.]com’, ’technologysupport[.]help’, ’themegaprovider[.]ddns[.]net’, ‘gwadarport[.]ddns[.]net’, ‘govmm[.]org’, ‘govnp[.]org’, ‘andc[.]govaf[.]org’], ‘ips’: [‘47.236.177.123’, ‘31.14.142.50’, ‘46.183.184.245’]}
🔗 Source originale : https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing