Netcrook Logo
👤 AGONY
🗓️ 27 Jan 2026   🌍 Asia

Ombres JavaScript : Le framework PeckBirdy et la nouvelle ère des attaques furtives chinoises

Sous-titre : Une opération secrète basée sur JavaScript, PeckBirdy, arme des hackers liés à la Chine avec des outils invisibles pour infiltrer les industries et gouvernements asiatiques.

Tout a commencé par un murmure sur les sites de jeux d’argent chinois : des injections de scripts soudaines et inexpliquées. En creusant, des enquêteurs en cybersécurité ont découvert PeckBirdy - un framework de commande et contrôle agile, basé sur JScript, alimentant discrètement une nouvelle génération d’espionnage cybernétique. Depuis 2023, cet outil insaisissable est utilisé par des groupes APT alignés sur la Chine, lançant des attaques aussi polyvalentes que difficiles à détecter.

Dévoiler PeckBirdy : Comment une vieille technologie est devenue une menace moderne

À première vue, JScript - un langage de script qui a connu son apogée dans les années 1990 - peut sembler un choix étrange pour du piratage de pointe. Mais c’est précisément pour cela que PeckBirdy, construit sur JScript, est si dangereux. Le framework peut être exécuté à l’aide de “living-off-the-land binaries” (LOLBins) comme MSHTA et WScript, permettant aux attaquants de se fondre dans les opérations système normales et d’échapper aux outils de sécurité.

Les chercheurs de Trend Micro ont repéré PeckBirdy pour la première fois en 2023, lorsqu’ils ont remarqué que des sites de jeux d’argent chinois servaient des scripts malveillants. Ces scripts constituent la porte d’entrée : ils téléchargent des charges utiles supplémentaires, se font passer pour des mises à jour de Google Chrome et incitent les victimes à s’infecter elles-mêmes. Les enquêteurs ont relié deux grandes campagnes - SHADOW-VOID-044 et SHADOW-EARTH-045 - à PeckBirdy. La première vise le secteur du jeu, tandis que la seconde, observée en juillet 2024, cible les connexions gouvernementales et des institutions privées à travers l’Asie, notamment aux Philippines.

Le génie de PeckBirdy réside dans son adaptabilité. Il peut fonctionner sur des navigateurs web, des environnements serveurs (comme Classic ASP et Node.js), et même des applications .NET. Une fois déployé, il analyse son environnement, génère un identifiant unique pour chaque victime et communique avec son serveur de commande via WebSockets ou, à défaut, des protocoles comme Comet ou Flash ActiveX.

À partir de là, le serveur envoie un script de second niveau - parfois conçu pour voler des cookies, parfois exploitant des vulnérabilités du navigateur (comme la CVE-2020-16040 corrigée dans Chrome), ou encore pour installer des portes dérobées. Deux de ces portes dérobées, HOLODONUT et MKDOOR, offrent aux attaquants un accès modulaire et flexible, allant du vol d’identifiants à l’établissement de shells inversés.

Des preuves relient l’infrastructure de PeckBirdy à un réseau d’acteurs menaçants liés à la Chine, dont UNC3569, Earth Lusca (alias Aquatic Panda/RedHotel) et APT41. Des outils, serveurs et certificats numériques partagés retracent la lignée de ces campagnes jusqu’à des opérations d’espionnage antérieures contre les jeux d’argent en ligne chinois et des cibles gouvernementales asiatiques.

Le nouveau visage de la furtivité : vivre sur la terre

Les outils antivirus traditionnels sont presque aveugles face au code éphémère de PeckBirdy et à l’absence de fichiers persistants. En s’appuyant sur du JavaScript injecté à l’exécution et des binaires système légitimes, les attaquants peuvent contourner la plupart des défenses, ne laissant que peu de traces aux équipes forensiques.

À mesure que les cybercriminels adoptent des frameworks JavaScript dynamiques comme PeckBirdy, les défenseurs font face à un défi de taille : combattre les ombres avec une lumière plus vive. La course aux armements entre attaquants et défenseurs entre dans une nouvelle phase - définie non par la force brute, mais par l’agilité, l’invisibilité et une innovation sans relâche.

WIKICROOK

  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Living : Vivre sur la terre signifie que les attaquants utilisent des outils système de confiance (LOLBins) pour des actions malveillantes, rendant leurs activités furtives et difficiles à détecter.
  • WebSocket : WebSocket est un protocole qui maintient un canal ouvert entre votre navigateur et un serveur, permettant un échange de messages bidirectionnel en temps réel.
  • Porte dérobée modulaire : Une porte dérobée modulaire est un logiciel malveillant qui charge des modules supplémentaires après l’infection, offrant aux attaquants un contrôle flexible et étendu sur les systèmes compromis.
  • Vol d’identifiants : Le vol d’identifiants consiste à dérober des informations de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des e-mails trompeurs.

L’histoire de PeckBirdy est un avertissement : même un vieux code peut devenir une nouvelle arme entre des mains expertes. À mesure que les attaquants affinent leurs tactiques furtives, la communauté de la cybersécurité doit s’adapter - ou risquer d’être laissée dans l’ombre.

PeckBirdy Cyber Espionage China Hackers
AGONY AGONY
Elite Offensive Security Commander
← Back to news