Threat Landscape #45
Actualités de la semaine
Sûreté
Une cyberattaque aurait désactivé les systèmes de suivi et d’alarme des fourgons pénitentiaires britanniques
Microlise Group plc, un fournisseur de logiciels de gestion des transports, a signalé le 31 octobre un incident de cybersécurité affectant une partie importante de ses services. Selon le communiqué, l’entreprise a détecté une activité non autorisée sur son réseau et a fait appel à des experts en cybersécurité pour évaluer l’étendue de la compromission et rétablir les services affectés. De plus, Microlise Group plc a notifié les autorités, y compris l’Information Commissioner’s Office (ICO), un bureau de régulation mis en place du Royaume-Uni. À ce stade, les impacts de cette compromission n’étaient pas encore connus. Lors de cette première communication, l’entreprise a précisé disposer d’une assurance cyber, permettant alors de ne pas s’inquiéter sur les conséquences financières potentielles liées à cette cyberattaque.
Une semaine plus tard, dans un second communiqué, Microlise Group plc est revenu sur la situation concernant l’incident du 31 octobre et l’avancement de ses analyses. L’entreprise a mentionné avoir fait des « des progrès substantiels dans l’endiguement et l’élimination de la menace de son réseau ». De plus, l’entreprise annonce la restauration progressive de ses services, avec un retour à la normale prévu d’ici la fin de la semaine. Bien que les investigations soient toujours en cours, Microlise a confirmé qu’aucune donnée des systèmes clients n’a été compromise. En revanche, des données limitées concernant les employés pourraient avoir été affectées, et ceux-ci seront alors informés conformément aux obligations réglementaires. La société réitère par ailleurs que cet incident n’aura pas de répercussions négatives significatives sur sa situation financière.
Un point aggravant de cette compromission est que Microlise compte parmi ses clients Serco, le prestataire responsable des services d’escorte de prisonniers pour le ministère de la Justice au Royaume-Uni. Selon le Financial Times, le personnel de Serco a été informé que le « suivi des véhicules, les alarmes de panique, la navigation, ainsi que les notifications de temps d’arrivée estimé » avaient été désactivés en raison de l’incident chez Microlise. Le ministère de la Justice a cependant précisé qu’il n’y avait aucun impact opérationnel sur le transport des détenus.
L’œil d’Intrinsec
Bien qu’il n’y ait aucune indication que les attaquants connaissaient les liens entre le fournisseur de logiciels de gestion des transports Microlise et le transport de prisonniers de Serco, cet incident montre les risques liés aux attaques sur les chaînes d’approvisionnement. En effet, dans le cadre où il s’agissait d’une attaque sophistiquée et ciblée préparée depuis plusieurs mois ou années pour faire évader un prisonnier lors d’un déplacement, les conséquences auraient pu être très graves. De plus, ce cas démontre une fois de plus l’importance de liens étroits entre cybersécurité et sûreté, chacun ayant un impact direct sur l’autre. Même si un certain nombre d’entreprises ont conscience de cette nécessité et favorisent les échanges entre les différentes équipes, cette pratique reste encore à être établie plus largement.
Chine
Avec ToxicPanda, le cybercrime chinois veut prendre pied en Europe
En octobre 2024, l’équipe de renseignement sur les menaces de Cleafy a identifié une nouvelle campagne de cheval de Troie bancaire Android. Dans un premier temps, en raison de certaines similarités de code, elle a été associée à la famille TgToxic, connue pour se propager en Asie du Sud-Est. Mais des analyses approfondies ont révélé des divergences significatives, conduisant à la classification de cette nouvelle menace sous le nom de ToxicPanda.
Ce logiciel malveillant vise à initier des transferts d’argent directement depuis des appareils infectés via des prises de contrôle à distance sur un compte compromis. D’après les analystes, cette méthode manuelle permettrait en effet de contourner certaines mesures de sécurité bancaires, notamment les vérifications d’identité et les authentifications, ainsi que les techniques de détection comportementale mises en place pour identifier les transferts d’argent suspects. Cette technique serait également plus simple à implémenter au niveau du développement. Elle n’est pas nouvelle et a déjà été utilisée par des malwares tels que Medusa, Copybara ou BingMod.
Recommandé par LinkedIn
Durant leur enquête, les analystes ont réussi à accéder au panel d’administration de ToxicPanda, révélant un botnet actif avec plus de 1 500 appareils infectés, ciblant 16 institutions bancaires. Le montant des transferts frauduleux est variable et pouvait monter jusqu’à 10 000 euros. L’Italie est le principal point chaud, représentant plus de 50 % des appareils infectés, suivi par le Portugal, l’Espagne, la France et le Pérou. Cette répartition géographique est d’autant plus surprenante que les acteurs derrière cette campagne sont probablement des locuteurs chinois, similaires à ceux responsables du TgToxic original. Or, il est inhabituel que des acteurs de cette origine géographique mènent des opérations de fraude bancaire ciblant des régions telles que l’Europe et l’Amérique latine. Ils préfèrent généralement se cantonner à la région d’Asie du Sud-Est.
Le code source révèle, par ailleurs, que ToxicPanda est encore en phase de développement, comme le suggère la présence de fichiers de débogage. Par ailleurs, sur les 93 commandes trouvées dans le malware, un certain nombre n’ont pas encore été implémentées. Il est possible que TgToxic ait servi comme base de départ, étant donné que deux tiers des commandes sont identiques. Mais le niveau de technicité est globalement assez faible. Il y a peu d’obfuscation, le code est peu factorisé et l’algorithme de chiffrement utilisé pour les communications C2 est relativement faible (AES-ECB).
L’œil d’Intrinsec
En Europe, on connaissait déjà les campagnes massives de cyberespionnage chinois. Il faudra peut-être se préparer prochainement à des déferlantes cybercriminelles. Car si ToxicPanda est, d’un point technique, relativement peu intéressant, il marque peut-être un changement de direction stratégique des acteurs cybercriminels chinois. Jusqu’à présent, ceux-ci ont plutôt limité leur rayon d’action à l’Asie du Sud-Est, mais avec ce malware ils semblent vouloir partir à la conquête de nouveaux espaces. Cela ne se fait pas de manière immédiate, car il faut évidemment adapter les techniques d’intrusion et de fraude aux nouveaux marchés. Et c’est peut-être pourquoi les opérateurs semblent encore tâtonner dans leur développement. Mais avec le temps, ToxicPanda deviendra probablement une menace sérieuse.
Plus d’informations ici.
MirrorFace : Des attaquants affiliés à la Chine ciblent des organisations diplomatiques en Europe
MirrorFace, un mode opératoire réputé pour ses liens avec la Chine, a étendu ses attaques au-delà de ses cibles habituelles en Asie pour viser des organisations diplomatiques de l’Union européenne. Ce mode opératoire, qui concentre habituellement ses actions de surveillance sur des entités japonaises telles que les institutions gouvernementales, les think tanks, les médias et les universités, aurait récemment infiltré un réseau diplomatique européen pour recueillir des renseignements en lien avec des événements au Japon. Cette incursion a été facilitée par une campagne de spear-phishing, dans laquelle les attaquants ont envoyé un e-mail frauduleux contenant un lien vers une archive ZIP intitulée « The EXPO Exhibition in Japan in 2025.zip », hébergée sur Microsoft OneDrive.
En accédant à l’archive, les victimes activaient un raccourci Windows malveillant qui déclenchait le déploiement des logiciels espions ANEL et NOOPDOOR, permettant aux hackers de prendre le contrôle à distance des systèmes infectés et de collecter des informations sensibles. Cette stratégie illustre une adaptation du groupe, exploitant l’attrait international de l’Expo universelle 2025 pour attirer des diplomates européens dans leurs filets. Historiquement, MirrorFace a montré un intérêt marqué pour le Japon, mais la sélection d’une cible européenne démontre désormais une expansion géographique.
Selon certains rapports, cette campagne pourrait traduire un désir de collecter des renseignements sur les relations internationales du Japon en ciblant ses partenaires européens, suggérant un approfondissement de leur champ de surveillance au-delà des frontières asiatiques.Les autorités japonaises avaient déjà signalé en juillet une augmentation des activités de MirrorFace, avec des intrusions dans divers secteurs, des fabricants aux instituts de recherche. La récente campagne, visant des acteurs européens, reflète une évolution vers une approche plus agressive et globale dans la collecte d’informations, notamment pour comprendre les dynamiques diplomatiques entourant le Japon.
L’œil d’Intrinsec
Il est important de noter que le phishing, et en particulier le spear-phishing, reste l’un des vecteurs d’infection les plus couramment utilisés par les cybercriminels. Les campagnes de phishing ciblé exploitent souvent des événements d’actualité ou des centres d’intérêt des victimes pour obtenir leur confiance et les inciter à exécuter des fichiers malveillants. Cette technique éprouvée demeure l’un des moyens les plus efficaces pour contourner les défenses de sécurité des organisations et accéder aux informations sensibles.
Cette newsletter est émise par notre cellule de Threat Intelligence : le service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d'informations, des activités de fraude et une vue pertinente quant à leur exposition sur l'ensemble des couches Internet (du Surface au Dark Web). Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s'orienter vers des besoins spécifiques.