Ce groupe utilise un malware sophistiqué, SNOWLIGHT, et un RAT open source, VShell, pour cibler des institutions stratégiques à travers le monde.
L’équipe de recherche sur les menaces de Sysdig a décrit une campagne active depuis novembre 2024, d’un acteur de la menace lié à l’État chinois, UNC5174. Derrière ce nom barbare se cache un acteur qui mobilise un malware sophistiqué, SNOWLIGHT, et le RAT open source VShell – ainsi qu'une nouvelle infrastructure de command and control (C2) pour s’introduire dans l’environnement compromis et l’exploiter ultérieurement, pour espionner des cibles stratégiques pour Pékin, selon Sysdig, ou négocier des accès aux environnements de leurs victimes.
Il cible des instituts de recherche, des organisations gouvernementales, des think tanks, et des entreprises technologiques dans des pays occidentaux, comme les États-Unis, le Canada et le Royaume-Uni, ainsi que des organisations non gouvernementales dans la région Asie-Pacifique notamment.
Incognito
« Le malware SNOWLIGHT agit en tant que déployeur pour un payload sans fichier qui réside uniquement en mémoire, appelé VShell. VShell est un cheval de Troie d'accès à distance (RAT) populaire parmi les cybercriminels de langue chinoise dans plusieurs forums, et son principal développeur est également un locuteur chinois », décrit le rapport. Les outils que le groupe utilise sont personnalisés, et difficilement copiables par d’autres. D’après leur analyse, les méthodes « telles que l'utilisation de WebSockets et l'emploi d'un payload VShell sans fichier témoignent d'un niveau élevé de connaissances techniques. »
Sysdig rappelle que l’utilisation d’outils open source par ces cybercriminels n’a rien d’un hasard. D’abord pour des raisons d’économie de coûts, mais aussi pour des raisons d’obfuscation. UNC5174 pourrait chercher à se fondre dans la masse des adversaires non étatiques, moins compétents techniquement, ce qui complique les investigations.
