EagerBee : Un Backdoor Évoluée Vise les FAI et Gouvernements au Moyen-Orient
Un malware opéré par des cyberattaquants supposément liés à la Chine a été détecté avec des capacités renforcées en matière d’évasion et de post-infection. Cette version mise à jour d’EagerBee, autrefois utilisée pour cibler des organisations asiatiques de premier plan, vise désormais les fournisseurs d’accès Internet (FAI) et les entités gouvernementales au Moyen-Orient, selon les recherches de Kaspersky.
La nouvelle variante est conçue pour opérer en mémoire, ce qui augmente sa furtivité et complique sa détection par les solutions traditionnelles de sécurité des endpoints. Elle se distingue également par sa capacité à masquer ses activités en injectant du code malveillant dans des processus légitimes tels qu’explorer.exe ou des sessions utilisateur.
Une précédente version de ce malware avait été utilisée dans des attaques menées par des groupes liés à l'État chinois, notamment durant l’opération Crimson Palace, pour exfiltrer des données sensibles. La version actuelle introduit des fonctionnalités avancées, comme un injecteur de service et plusieurs plugins inédits permettant des activités malveillantes variées : exploration des systèmes de fichiers, exécution de commandes à distance, ou encore déploiement de charges supplémentaires.
Qui est derrière EagerBee ?
Les premières analyses attribuaient EagerBee au groupe chinois Iron Tiger (ou APT27). Cependant, Kaspersky relie cette nouvelle campagne au groupe CoughingDown, en raison de similitudes dans les modules malveillants utilisés, les services créés, et les domaines de commande et contrôle (C2).
Les preuves incluent également un chevauchement de code dans un fichier DLL malveillant associé au groupe CoughingDown, consolidant l’hypothèse que ce dernier serait responsable de cette version d’EagerBee.
Caractéristiques Avancées
EagerBee intègre des fonctionnalités sophistiquées orchestrées par un module principal. Celui-ci collecte des données spécifiques au système cible (processus, mémoire, paramètres régionaux) et envoie ces informations au serveur C2. Les plugins incluent un gestionnaire de fichiers, un gestionnaire de processus et un module d’accès à distance, permettant des actions variées comme renommer ou supprimer des fichiers, injecter des payloads en mémoire ou encore manipuler des services système.
Une Menace Croissante
Bien que le vecteur initial d’infection reste inconnu, les précédentes attaques utilisaient des vulnérabilités telles que ProxyLogon. Kaspersky recommande de renforcer les défenses, car cette backdoor illustre la sophistication croissante des menaces actuelles.