Un groupe de hackers soutenu par la Chine a utilisé du ransomware pour faire diversion de leurs actes d’espionnage, selon l’entreprise de produits de sécurité Secureworks.
Secureworks explique dans un nouveau rapport le mode de fonctionnement du groupe, citant la firme Bronze Starlight. Le groupe existe depuis mi-2021 et travaillerait pour les autorités chinoises. Bronze Starlight utilise le chargeur HUI pour installer différentes formes de ransomware, dont Pandora, LockFile et autres. Soutirer de l’argent ne serait cependant pas son principal objectif, mais plutôt du cyber-espionnage, selon Secureworks.
‘Le rançongiciel a pour but de distraire les collaborateurs chargés de réagir à un incident, afin qu’ils ne se rendent pas compte de l’objectif réel des hackers’, signale encore l’entreprise de sécurité. ‘Il y a aussi moins de risques que ces derniers soient pris pour des agents d’Etat chinois.’
Stratégies inhabituelles
Secureworks base ses dires sur son enquête sur le groupe. Ce dernier expédie diverses formes de ransomware durant de brèves périodes et change de temps à autre de variante (cela va d’un modèle de chantage plus traditionnel à un autre qui menace de révéler au public les informations dérobées par exemple). Un comportement qui serait inhabituel de la part de cyber-bandes ordinaires, qui se contentent d’appliquer la même tactique jusqu’à ce qu’il n’y ait plus d’argent à extorquer.
‘Il est possible que ces changements facilitent le vol de données. Les agresseurs peuvent aussi décider qu’un profil davantage public convient mieux pour faire diversion sur leurs véritables objectifs’, selon Secureworks.
Le rapport indique que le groupe a fait 21 victimes, dont trois-quarts peuvent constituer un objectif intéressant pour Beijing. Il est par exemple question de firmes pharmaceutiques, de fournisseurs d’équipement pour l’armée ou de concepteurs de composants électroniques.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici