Selon Security.com, l’APT chinoise Jewelbug a significativement élargi son ciblage début 2025, incluant des prestataires IT en Russie, des agences gouvernementales en Amérique du Sud et des organisations taïwanaises. Cette orientation vers des cibles russes marque un changement notable par rapport aux habitudes historiques des APT chinoises.
Les assaillants ont conservé pendant cinq mois un accès aux dépôts de code et aux systèmes de build d’une entreprise IT russe, suggérant une posture favorable à d’éventuelles attaques de chaîne d’approvisionnement. Les opérations montrent un recours à des canaux d’exfiltration discrets, notamment Yandex Cloud, ainsi qu’à des tunnels réseau comme Fast Reverse Proxy et Earthworm pour la persistance.
Sur le plan des outils, Jewelbug a déployé un nouveau backdoor exploitant Microsoft Graph API et OneDrive pour le C2, avec des traces de journalisation indiquant un développement actif. Le groupe a également utilisé le backdoor ShadowPad dans ses campagnes.
Les campagnes observées s’appuient sur des TTPs variés et sophistiqués :
- Exécution de shellcode et contournement d’AppLocker via un cdb.exe (Microsoft Console Debugger) renommé.
- DLL sideloading.
- Dumping d’identifiants (LSASS/Mimikatz).
- Persistance par tâches planifiées.
- BYOVD avec EchoDrv et utilisation de KillAV.
- Élévation de privilèges via des outils publics : PrintNotifyPotato, Coerced Potato, Sweet Potato.
- Exfiltration par BITSAdmin et curl, vers Yandex Cloud.
- Persistance réseau via Fast Reverse Proxy et Earthworm.
- Focalisation sur les systèmes de build en vue d’une compromission potentielle de la chaîne logicielle.
Type d’article: analyse de menace visant à documenter l’empreinte opérationnelle, les capacités et les TTPs de Jewelbug. 🕵️♂️
🔗 Source originale : https://www.security.com/threat-intelligence/jewelbug-apt-russia
🖴 Archive : https://web.archive.org/web/20251016074411/https://www.security.com/threat-intelligence/jewelbug-apt-russia