Au cœur de la toile DNS d’Evasive Panda : comment des hackers d’élite ont détourné les mises à jour et déjoué les défenseurs

Sous-titre : Une campagne cybernétique de deux ans révèle de nouveaux sommets de furtivité technique, alors qu’Evasive Panda APT exploite l’empoisonnement DNS et les attaques adversary-in-the-middle pour diffuser des malwares via des mises à jour logicielles de confiance.

Tout a commencé par une simple mise à jour logicielle. Un utilisateur en Inde a cliqué pour mettre à jour son application vidéo préférée - sans se douter qu’en coulisses, des hackers d’élite connus sous le nom d’Evasive Panda orchestraient l’une des campagnes cyber les plus sophistiquées de la décennie. En détournant le mécanisme même de la confiance - les mises à jour logicielles et la navigation sur Internet - ces attaquants ont réussi à compromettre des systèmes à travers l’Asie, tout en ne laissant pratiquement aucune trace pour les défenseurs.

En bref

Evasive Panda (alias Bronze Highland, Daggerfly, StormBamboo) a mené une campagne persistante de novembre 2022 à novembre 2024 en Turquie, en Chine et en Inde.
Les attaquants ont utilisé des attaques adversary-in-the-middle (AitM) et l’empoisonnement DNS pour intercepter le trafic web légitime et diffuser des malwares.
Les chargeurs de malware étaient déguisés en mises à jour d’applications populaires comme Tencent QQ et iQIYI Video, exploitant la confiance des utilisateurs.
Les charges utiles étaient livrées via des images chiffrées, adaptées à chaque système victime et déchiffrées uniquement sur les machines compromises.
Des techniques sophistiquées telles que le DLL sideloading et le chiffrement hybride ont entravé la détection et l’analyse pendant plus d’un an.

Anatomie d’une campagne furtive

Contrairement aux tactiques brutales des cybercriminels moins aguerris, l’approche d’Evasive Panda est d’une patience et d’une précision glaçantes. Plutôt que de diffuser massivement des emails de phishing ou de compter sur des téléchargements infectés, le groupe s’est concentré sur des attaques adversary-in-the-middle avancées. En empoisonnant les réponses DNS - le « bottin téléphonique » virtuel d’Internet - ils redirigeaient silencieusement les utilisateurs cherchant des sites légitimes, comme dictionary.com ou des éditeurs de logiciels de confiance, vers des serveurs contrôlés par les attaquants. Là, des chargeurs malveillants se faisant passer pour de vraies mises à jour attendaient leurs cibles.

La finesse technique est manifeste. Les chargeurs personnalisés du groupe, développés en C++ avec la Windows Template Library, sont blindés par de multiples couches de chiffrement et d’obfuscation. Les détails opérationnels critiques - adresses de commande et contrôle, chemins système, et même le code à exécuter - restent chiffrés jusqu’au moment précis de l’attaque. Cela non seulement déjoue les outils antivirus traditionnels, mais complique aussi à l’extrême l’investigation forensique.

L’un des tours les plus redoutables d’Evasive Panda est l’utilisation du DLL sideloading avec un exécutable Microsoft signé vieux de dix ans (evteng.exe). En injectant leur implant MgBot directement en mémoire, les attaquants évitent de laisser des fichiers malveillants révélateurs sur le disque. Les charges utiles elles-mêmes sont livrées sous forme d’images PNG à l’apparence anodine, chacune choisie selon la version exacte de Windows et la configuration du système de la victime.

Pour compliquer davantage la tâche des défenseurs, le groupe emploie un système de chiffrement hybride - mêlant l’API de protection des données de Microsoft (DPAPI) à l’algorithme RC5. Ainsi, même si les analystes capturent le malware, le déchiffrement n’est possible que sur la machine de la victime, fermant la porte à l’ingénierie inverse classique.

Questions sans réponse - et danger croissant

Malgré les révélations techniques, un mystère demeure : comment Evasive Panda a-t-il compromis l’infrastructure DNS à une telle échelle ? Les théories vont de l’infiltration des réseaux de FAI à la compromission de routeurs et pare-feux individuels. Quelle que soit la réponse, il est clair que les attaquants ont beaucoup investi dans la redondance et la furtivité, certaines infections durant plus d’un an et de nombreux serveurs de commande de secours étant prêts à prendre le relais.

L’évolution de la campagne signale une tendance inquiétante. Alors qu’Evasive Panda continue d’affiner ses outils et techniques, les organisations doivent non seulement surveiller le trafic DNS, mais aussi renforcer leurs réseaux contre les attaques subtiles et multi-étapes qui redéfinissent aujourd’hui le paysage des APT. Dans l’ombre d’Internet, la confiance devient une arme - et la vigilance n’a jamais été aussi cruciale.

WIKICROOK

APT (Advanced Persistent Threat) : Une menace persistante avancée (APT) est une cyberattaque ciblée et de longue durée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
Empoisonnement DNS : L’empoisonnement DNS est une attaque qui corrompt les enregistrements DNS pour rediriger les utilisateurs de sites de confiance vers des sites malveillants ou frauduleux, permettant le vol ou la diffusion de malware.
Adversaire : Un adversaire est toute personne ou groupe cherchant à compromettre des systèmes ou des données informatiques, souvent à des fins malveillantes comme le vol ou la perturbation.
DLL sideloading : Le DLL sideloading consiste à tromper des programmes de confiance pour qu’ils chargent des fichiers d’assistance malveillants (DLL) à la place des fichiers légitimes, permettant des attaques furtives.
Chiffrement hybride : Le chiffrement hybride combine chiffrement symétrique et asymétrique pour sécuriser le transfert de données, alliant rapidité et échange de clés sécurisé pour une cybersécurité renforcée.