Le groupe de hackers chinois SparklingGoblin utilise une variante Linux de la porte dérobée SideWalk pour attaquer principalement des cibles académiques.

Les chercheurs en sécurité d’ESET rapportent une variante Linux de la porte dérobée SideWalk, que le groupe de hackers chinois SparklingGoblin utilise principalement pour cibler des cibles académiques. SideWalk n’est qu’un des nombreux outils de la boîte à outils du pirate informatique.

SparklingGoblin a accès à de nombreux outils

En août 2021, des chercheurs en sécurité ont découvert un malware Windows nommé SideWalk (alors appelé ScrambleCross). Des pirates chinois ont utilisé ce logiciel malveillant pour attaquer une société de commerce informatique aux États-Unis. Mais la même année, une variante Linux de SideWalk a également été utilisée dans une attaque contre une université à Hong Kong.

Le groupe APT responsable de cela est connu sous le nom de SparklingGoblin et utilise des tactiques, des techniques et des procédures similaires à APT41 et BARIUM. « Il utilise des chargeurs basés sur Motnug et ChaCha20, les portes dérobées CROSSWALK et SideWalk, ainsi que Korplug (alias PlugX) et Cobalt Strike” rapporte la société slovaque de cybersécurité ESET. Elle fait également partie des groupes ayant accès à la porte dérobée ShadowPad.

Les pirates informatiques ciblent le secteur universitaire

En ce qui concerne leurs cibles d’attaque, les pirates, qui sont actifs depuis au moins 2019, se concentrent sur le secteur universitaire. Ils sont surtout actifs en Asie de l’Est et du Sud-Est notamment. Dès mai 2020, ils ont attaqué une université à Hong Kong lors de manifestations étudiantes en cours. Et exactement la même université a de nouveau été victime d’une attaque en février 2021 avec la nouvelle variante Linux de SideWalk, que SparklingGoblin semble avoir utilisée exclusivement jusqu’à présent.

« Le groupe a ciblé cette organisation pendant une longue période et a réussi à compromettre plusieurs serveurs clés. Ceux-ci comprenaient un serveur d’impression, un serveur de messagerie et un serveur utilisé pour gérer les horaires et les inscriptions aux cours.

Chercheurs ESET

StageClient devient SideWalk

L’équipe ESET a documenté la version Linux de SideWalk pour la première fois le 2 juillet 2021, à l’époque encore sous le nom de StageClient. Cependant, les chercheurs en sécurité n’ont pas encore pu établir de connexion avec SparklingGoblin et sa porte dérobée SideWalk. « Le nom d’origine a été utilisé en raison d’occurrences répétées de la chaîne StageClient dans le code » disent les experts dans leur rapport.

Selon les chercheurs d’ESET, le malware botnet Spectre RAT, documenté pour la première fois par 360 Netlab en septembre 2020, est également une variante de Sidewalk Linux. Cela peut être attribué aux nombreuses similitudes entre ces outils.