Les hôtels de luxe de la région administrative spéciale chinoise de Macao ont subi une campagne malveillante de harponnage. Comment les pirates ont orchestré ces attaques entre la seconde moitié de novembre 2021 et la mi-janvier 2022 ?
La société de cybersécurité Trellix a attribué la mission à une menace persistante avancée (APT) sud-coréenne dénommée DarkHotel. Les recherches publiées en décembre 2021 par Zscaler ont permis d’illustrer un degré de confiance modéré. Depuis 2007, ces harponneurs ont frappé des cadres supérieurs d’entreprises en infiltrant les réseaux Wi-Fi d’hôtels. Par conséquent, les victimes téléchargent à leur insu des codes malveillants sur leurs ordinateurs. De plus, les pirates y associent des attaques de spear-phishing et de P2P.
Les pirates DarkHotel usurpent l’Office du tourisme
Les chaînes d’attaque ont consisté à distribuer des messages électroniques. Les criminels ont adressé des courriels-espions à des individus qui occupaient des postes d’administration dans l’hôtel. De ce fait, le vice-président des ressources humaines, le directeur adjoint et le directeur de la réception en sont notamment les victimes. En effet, les intrusions visaient le personnel en possession d’un accès au réseau de l’établissement.
Récemment, les pirates sont passés à l’hameçonnage dans 17 hôtels différents. Dans un cas, un e-mail invitait les proies à ouvrir un fichier Excel nommé « 信息.xls » (« information.xls ») le 7 décembre. Les hackers prétendaient être l’Office du tourisme du gouvernement de Macao. Dans un autre cas, les courriels ont été truqués pour recueillir des détails sur les personnes qui séjournaient dans les gîtes.
Une fois lancé, le classeur Microsoft Excel contenant le malware incitait les destinataires à activer les macros. Puis, une chaîne d’exploitation se déclenchait. En effet, les malfaiteurs ont relié leur manœuvre à un serveur de commande et de contrôle (C2) distant. Par conséquent, les données sensibles des machines compromises y ont été collectées et exfiltrées. Les pirates s’y sont parvenus en se camouflant dans le site Web fictif du gouvernement des États fédérés de Micronésie (FSM).
Des mesures restrictives stopperaient les attaques malveillantes
Le pire dans la situation est que l’adresse IP du serveur C2 est restée active. De plus, elle est aussi employée pour servir d’autres pages d’hameçonnage malgré une divulgation publique antérieure. Les renseignements d’identifications des usagers du portefeuille de cryptomonnaies MetaMask en sont infectés.
Cette adresse IP a été utilisée par l’acteur pour déposer de nouvelles charges utiles comme premières étapes pour configurer l’environnement de la victime pour l’exfiltration d’informations système et les étapes suivantes potentielles.
Thibault Seret et John Fokker, Chercheurs de Trellix
À noter que ce fléau cible également les forces de l’ordre, les produits pharmaceutiques et les constructeurs automobiles.
Par ailleurs, la campagne aurait pu connaître une fin le 18 janvier 2022. Dans ces temps, les restrictions sur la COVID-19 ont arrêté la mission des pirates de DarkHotel. C’est que la multiplication des cas de coronavirus à Macao a entraîné l’annulation ou le report de conférences commerciales internationales. Or, ces événements devaient avoir lieu dans les hôtels ciblés. À souligner toutefois que ! le frein créé par la pandémie n’écarte pas les menaces.
