Abus des stratégies de groupe : une nouvelle menace chinoise cible les gouvernements

Aurélien Fontevive

Selon les chercheurs d’ESET, un groupe de menaces persistantes avancées (APT) aligné sur la Chine, nommé LongNosedGoblin, exploite les fonctionnalités des stratégies de groupe Windows pour déployer des malwares et se déplacer discrètement dans les réseaux victimes. Cette campagne ciblée, active depuis fin 2023, représente une évolution préoccupante dans les tactiques d’espionnage gouvernemental, démontrant comment des acteurs malveillants abusent d’outils légitimes pour infiltrer des infrastructures critiques. ## Le groupe LongNosedGoblin : une menace persistente identifiée par ESET

Les chercheurs d’ESET ont identifié LongNosedGoblin comme une menace avancée jusqu’alors non documentée, qui utilise les stratégies de groupe Windows (Group Policy) comme vecteur principal de distribution de malwares. Ce groupe a spécifiquement ciblé des institutions gouvernementales en Asie du Sud-Est et au Japon avec une boîte à outils conçue pour la surveillance à long terme. La première détection de ce groupe remonte à 2024, lors d’une enquête sur une activité suspecte au sein du réseau d’une organisation gouvernementale d’Asie du Sud-Est. Durant cette investigation, les chercheurs ont découvert un malware inédit dont l’analyse ultérieure a permis de relier l’activité à des opérations remontant au moins à septembre 2023. Des observations de ce mois de septembre montrent une reprise d’activité dans la même région, suggérant un intérêt continu pour les réseaux gouvernementaux.

« Nous avons ensuite identifié une autre instance d’une variante de NosyDoor ciblant une organisation dans un pays de l’UE, employant à nouveau différentes techniques et utilisant le service cloud Yandex Disk comme serveur de commandement et de contrôle. L’utilisation de cette variante de NosyDoor suggère que le logiciel malveillant pourrait être partagé entre plusieurs groupes de menaces alignés sur la Chine », explique Anton Cherepanov, chercheur chez ESET, qui a enquêté sur LongNosedGoblin avec son collègue Peter Strýček.

Ce groupe fait partie d’une tendance inquiétante d’acteurs étatiques qui exploitent des fonctionnalités système légitimes pour dissimuler leurs activités. Contrairement à d’autres campagnes qui utilisent des exploits complexes ou des techniques de phishing agressives, LongNosedGoblin privilégie une approche subtile basée sur l’abus d’outils d’administration déjà présents dans les environnements Windows. Cette tactique réduit considérablement les risques de détection et permet à l’attaquant de maintenir une présence prolongée dans les réseaux cibles. ## Méthodes d’infiltration et techniques d’attaque

L’approche de LongNosedGoblin se distingue par sa focalisation sur la propagation interne après avoir obtenu un accès initial. Une fois que l’attaquant a pénétré le réseau, le malware est déployé à l’échelle du réseau en utilisant des objets de stratégie de groupe (Group Policy Objects). Cette méthode permet au groupe d’atteindre plusieurs systèmes sans dépendre d’exploitations répétées, minimisant ainsi les traces de leur présence sur le réseau.

Exploitation des stratégies de groupe pour le mouvement latéral

La stratégie de groupe joue un rôle central dans cette campagne. Les attaquants l’ont utilisée pour pousser des composants malveillants vers d’autres machines connectées au domaine. Cette approche leur permet de se fondre dans le trafic administratif et d’éviter les techniques de mouvement latéral bruyantes qui pourraient attirer l’attention des systèmes de détection d’intrusion.

Les stratégies de groupe sont largement utilisées avec Active Directory pour gérer les paramètres et les autorisations dans les environnements Windows. Par leur nature, ces politiques sont appliquées automatiquement et de manière transparente pour les utilisateurs et les systèmes. Les attaquants exploitent cette confiance pour distribuer des malwares à grande échelle une fois l’accès établi, créant ainsi une menace particulièrement difficile à détecter.

Dans la pratique, cette technique permet à l’attaquant de modifier des paramètres système ou d’installer des logiciels malveillants sur des centaines ou des milliers d’ordinateurs en une seule opération, simplement en modifiant un objet de stratégie de groupe existant ou en en créant un nouveau. Ces modifications sont ensuite appliquées lors de la prochaine synchronisation de stratégie, généralement toutes les 90 à 120 minutes par défaut, ou lors du démarrage des systèmes.

Infrastructures de commandement et de contrôle basées sur le cloud

Une fois déployés, les malwares communiquent avec une infrastructure de commandement et de contrôle (C2) hébergée sur des services cloud. Les chercheurs ont observé l’utilisation de Microsoft OneDrive et Google Drive pour la livraison de commandes et l’échange de données, ce qui complique les efforts de détection et de blocage. Le choix de cette infrastructure s’inscrit dans une tendance plus large parmi les groupes d’espionnage qui s’appuient sur des plateformes fiables pour masquer le trafic malveillant dans l’activité d’entreprise normale.

L’utilisation de services cloud légitimes pour des activités malveillantes présente plusieurs avantages pour les attaquants. Premièrement, ces services bénéficient de la réputation de plateformes approuvées, ce qui réduit les chances que leur trafic soit bloqué par des pare-feux ou des systèmes de filtrage. Deuxièmement, le trafic entre les systèmes infectés et ces services cloud est souvent chiffré et utilise des ports légitimes, ce qui le rend difficile à distinguer du trafic autorisé.

Troisièmement, ces plateformes offrent une redondance et une résilience accrues, permettant aux attaquants de maintenir leurs communications même si certaines adresses IP sont identifiées et bloquées. Enfin, la nature distribuée de ces services rend difficile pour les analystes de sécurité de tracer l’ensemble du trafic malveillant à sa source.

Techniques de persistance et de dissimulation

LongNosedGoblin emploie plusieurs techniques pour maintenir sa persistance dans les systèmes compromis et dissimuler ses activités. L’une de ces techniques implique l’abus des tâches planifiées Windows, qui sont souvent utilisées pour lancer des processus légitimes au démarrage du système ou à des intervalles réguliers. Les attaquants créent des tâches planifiées discrètes qui exécutent leurs outils malveillants, garantissant ainsi leur réexécution même si le processus est temporairement arrêté.

Une autre technique de persistance observée concerne l’exploitation des services Windows. Les attaquants modifient des services existants ou en créent de nouveaux pour exécuter leurs payloads. En utilisant des noms de services et des descriptions légitimes ou génériques, ils augmentent les chances que ces modifications passent inaperçues lors des vérifications de routine.

Pour dissimuler leur trafic, les attaquants utilisent des techniques comme le chiffrement de leurs communications et l’encapsulation dans des protocoles légitimes. Dans certains cas, ils ont été observés en train d’utiliser des protocoles comme ICMP ou DNS pour le tunneling de leurs communications, ce qui leur permet de contourner les contrôles de trafic basés sur l’analyse du contenu et des ports. ## L’écosystème malveillant : outils spécialisés pour l’espionnage

LongNosedGoblin s’appuie sur plusieurs outils spécialisés pour collecter des données sensibles et mener des opérations de surveillance. Cette section examine les composants malveillants clés de cette campagne, chacun conçu pour un objectif spécifique au sein de la chaîne d’attaque.

NosyHistorian : collecte d’informations de navigation

L’un des premiers outils déployés dans les réseaux victimes est NosyHistorian. Cette application C# et .NET collecte l’historique de navigation de Google Chrome, Microsoft Edge et Mozilla Firefox. Les données volées aident les opérateurs à comprendre le comportement des utilisateurs et à décider où déployer des malwares supplémentaires.

En collectant ces informations, les attaquants peuvent établir des profils d’utilisateurs, identifier les sites web visités fréquemment, comprendre les centres d’intérêt des cibles et détecter d’éventuels systèmes de gestion de mots de passe utilisés. Ces informations sont précieuses pour orienter les prochaines étapes de l’attaque, telles que le phishing ciblé ou l’exploitation de vulnérabilités spécifiques aux applications visitées.

NosyDoor : reconnaissance système et exécution de tâches

Un autre composant malveillant clé est NosyDoor, qui se concentre sur la reconnaissance du système et l’exécution de tâches. Il collecte des métadonnées telles que le nom de la machine, le nom d’utilisateur, la version du système d’exploitation et les détails des processus actuels. Ces informations sont renvoyées au service de commandement et de contrôle.

NosyDoor récupère également des fichiers de tâches contenant des instructions. Les commandes prises en charge incluent l’exfiltration de fichiers, la suppression de fichiers et l’exécution de commandes shell, donnant aux attaquants un contrôle continu sur les systèmes infectés.

Voici une chaîne d’exécution typique de NosyDoor :

  1. Lancement du processus principal NosyDoor
  2. Connexion au serveur de commandement et de contrôle
  3. Récupération du fichier de tâches contenant les instructions
  4. Exécution des commandes spécifiées (exfiltration, suppression, etc.)
  5. Rapport des résultats au serveur C2
  6. Attente des prochaines instructions

NosyStealer : extension du vol de données de navigateur

Pour compléter les informations collectées par NosyHistorian, le groupe utilise NosyStealer, qui cible les données de navigateur stockées dans Microsoft Edge et Google Chrome. Cet outil étend les renseignements recueillis plus tôt dans la chaîne d’attaque, permettant aux attaquants d’accéder aux cookies, mots de passe enregistrés et informations de formulaire auto-remplies.

Ces données volées peuvent être utilisées pour accéder à divers comptes en ligne détenus par les victimes, y compris les comptes de messagerie, les réseaux sociaux et les applications professionnelles. En obtenant un accès à ces comptes, les attaquants peuvent collecter davantage d’informations sensibles, communiquer avec d’autres utilisateurs sous une fausse identité ou même lancer des campagnes de phishing ciblées.

NosyDownloader : livraison de charge utile furtive

NosyDownloader gère la livraison de charge utile. Il exécute une série de commandes obfusquées et charge des malwares supplémentaires directement en mémoire, ce qui réduit les artefacts sur le disque et rend l’analyse forensique plus difficile.

Le chargement direct en mémoire est une technique de dissimulation avancée qui évite que les fichiers malveillants ne soient écrits sur le disque dur de la victime. Cela rend la détection plus difficile, car beaucoup d’outils de sécurité traditionnels se concentrent sur l’analyse des fichiers sur le disque plutôt que sur les processus en mémoire.

De plus, l’obfuscation des commandes utilisées par NosyDownloader complique l’analyse du comportement du malware. Les chercheurs doivent souvent recourir à des techniques d’analyse dynamique et à la surveillance du comportement du système pour comprendre le véritable objectif des commandes exécutées.

NosyLogger : un keylogger modifié

La boîte à outils comprend également NosyLogger, un keylogger écrit en C# et .NET. Les chercheurs estiment qu’il s’agit d’une version modifiée du projet open-source DuckSharp. Le keylogging soutient le vol d’identifiants et la surveillance de l’activité des utilisateurs au fil du temps.

Les keyloggers traditionnels enregistrent chaque frappe de l’utilisateur, capturant ainsi les mots de passe, les messages personnels et autres informations sensibles tapées. Dans le cas de NosyLogger, les attaquants peuvent obtenir un accès continu aux communications en temps réel, ce qui leur permet de collecter des informations confidentielles au fur et à mesure qu’elles sont saisies par les victimes.

Surveillance avancée : audio, vidéo et accès réseau

Au-delà des outils d’espionnage traditionnels, le groupe déploie des utilitaires qui soutiennent une surveillance plus approfondie. Les chercheurs ont identifié un proxy SOCKS5 inverse qui fournit un accès réseau distant à travers les hôtes infectés.

Ce proxy inverse permet aux attaquants de router leur trafic à travers les systèmes compromis, masquant ainsi leur véritable emplacement et contournant les contrôles d’accès réseau. Les attaquants peuvent utiliser cet accès pour explorer d’autres systèmes internes, voler des données ou même lancer des attaques supplémentaires depuis la position compromise.

Les chercheurs ont également observé un exécuteur d’arguments utilisé pour lancer d’autres applications. Dans au moins un cas, cet exécuteur a lancé un outil d’enregistrement vidéo, probablement FFmpeg, pour capturer l’audio et la vidéo des systèmes compromis. Cette capacité de surveillance audiovisuelle représente un niveau particulièrement intrusif d’espionnage, permettant aux attaquants de surveiller directement les activités et les conversations des victimes.

Cette combinaison d’abus administratifs, de canaux de commande basés sur le cloud et d’outils de surveillance multicouches montre une campagne conçue pour la persistance au sein d’environnements gouvernementaux sensibles. Les chercheurs continuent de surveiller l’activité du groupe dans la région et au-delà, car des variantes de leurs outils ont été observées ciblant des organisations dans d’autres régions, y compris des pays de l’Union européenne.

Mesures de défense et prévention contre les abus de Group Policy

Face à une menace aussi sophistiquée que LongNosedGoblin, les organisations doivent mettre en place des mesures de défense robustes pour protéger leurs environnements contre l’abus des stratégies de groupe. Cette section présente un cadre de défense complet, incluant des pratiques recommandées, des configurations de sécurité renforcées et des stratégies de détection.

Prévention : renforcer la sécurité des stratégies de groupe

La première ligne de défense contre l’abus des stratégies de groupe consiste à renforcer leur sécurité. Les administrateurs système doivent suivre les meilleures pratiques suivantes :

  1. Principe du moindre privilège : Appliquer strictement le principe du moindre privilège aux comptes utilisés pour la gestion des stratégies de groupe. Les comptes utilisés pour cette fonctionnalité ne devraient avoir que les autorisations nécessaires.

  2. Séparation des rôles : Séparer les fonctions d’administration des stratégies de groupe d’autres tâches administratives. Cela limite l’impact potentiel d’un compte compromis.

  3. Audit et surveillance : Activer la journalisation et l’audit pour toutes les modifications apportées aux objets de stratégie de groupe. Les solutions SIEM (Security Information and Event Management) doivent être configurées pour alerter sur les modifications non autorisées ou suspectes.

  4. Validation des modifications : Mettre en place un processus de validation et d’approbation pour toute modification apportée aux objets de stratégie de groupe. Cela devrait inclure une vérification de la légitimité et de la nécessité de chaque modification.

  5. Déploiement progressif : Appliquer les nouveaux objets de stratégie de groupe à des groupes de test limités avant un déploiement à plus grande échelle. Cela permet de détecter tout comportement anormal avant qu’il n’affecte l’ensemble de l’organisation.

Détection : identifier les activités malveillantes

La détection précoce des activités malveillantes est essentielle pour minimiser l’impact d’une intrusion. Les organisations doivent mettre en place les mécanismes de détection suivants :

  • Surveiller les modifications suspectes des objets de stratégie de groupe, notamment celles effectuées en dehors des heures de travail normales ou par des comptes inhabituels.
  • Détecter l’exécution de processus suspects en mémoire, en particulier ceux qui chargent des bibliothèques .NET de manière inhabituelle.
  • Surveiller les communications sortantes anormales avec des services cloud légitimes, notamment lorsque ces communications transportent de gros volumes de données ou se produisent à des heures inhabituelles.
  • Configurer les systèmes pour alerter sur l’exécution d’outils système inhabituels, comme les scripts PowerShell ou les exécutables WMI, qui pourraient être utilisés pour déployer des charges utiles.

Tableau comparatif des solutions de protection des stratégies de groupe

Solution de protectionAvantagesInconvénientsComplexité de mise en œuvreCoût estimé
Solutions EDR avancéesDétection des comportements malveillants en temps réelPeut générer de faux positifsÉlevéeÉlevé
Segmentation réseauLimite la propagation des attaquantsComplexité dans la gestion des politiquesMoyenneMoyen à élevé
Audit et monitoring des GPODétecte les modifications non autoriséesNe prévient pas les abusFaibleFaible à moyen
Solutions de chiffrementProtège les données sensiblesImpact sur les performancesMoyenneMoyen
Solutions PAM (Privileged Access Management)Contrôle granulaire des accès administratifsDéploiement complexeÉlevéeÉlevé

Réponse et récupération : préparer l’incident

En cas d’abus détecté des stratégies de groupe, les organisations doivent disposer d’un plan de réponse et de récupération bien défini. Les étapes clés incluent :

  1. Isolation immédiate : Isoler les systèmes compromis du réseau pour empêcher la propagation de la menace. Cela peut impliquer la déconnexion des machines ou la mise en quarantaine via des solutions de réseau segmenté.

  2. Analyse forensique : Mener une analyse approfondie pour déterminer l’étendue de la compromission. Cela inclut l’examen des journaux, la collecte d’artefactes numériques et l’analyse des processus en mémoire.

  3. Correction : Appliquer les correctifs nécessaires pour éliminer les vecteurs d’exploitation. Cela peut inclure la mise à jour des systèmes, le changement des mots de passe et la révocation des certificats compromises.

  4. Restauration : Restaurer les systèmes à partir de sauvegardes propres, vérifiées et datant d’avant la compromission. Il est crucial de s’assurer que les sauvegardes ne sont pas elles-mêmes compromises.

  5. Leçons tirées : Analyser l’incident pour identifier les faiblesses exploitées et mettre en place des mesures correctives pour prévenir de futures attaques similaires.

Formation et sensibilisation

La formation et la sensibilisation du personnel sont des éléments essentiels d’une stratégie de défense robuste contre les menaces comme LongNosedGoblin. Les programmes de formation devraient couvrir les aspects suivants :

  • Sensibilisation aux menaces : Informer les employés des tactiques d’ingénierie sociale et des techniques d’espionnage utilisées par les acteurs avancés.
  • Bonnes pratiques de sécurité : Former le personnel aux bonnes pratiques de sécurité, notamment la gestion sécurisée des mots de passe, la reconnaissance des tentatives de phishing et le signalement approprié des incidents suspects.
  • Sécurité des stratégies de groupe : Éduquer les administrateurs système sur les risques associés aux abus des stratégies de groupe et sur les meilleures pratiques pour sécuriser ces objets.
  • Culture de la sécurité : Promouvoir une culture de sécurité où chaque membre de l’organisation comprend son rôle dans la protection des actifs informationnels et se sent responsable de signaler les activités suspectes.

Conclusion : renforcer la résilience face aux menaces avancées

L’émergence du groupe LongNosedGoblin et son exploitation sophistiquée des stratégies de groupe Windows illustrent l’évolution continue des menaces cybernétiques. Ces acteurs malveillants démontrent une capacité à adapter leurs tactiques pour exploiter des fonctionnalités système légitimes, rendant leurs campagnes particulièrement difficiles à détecter et à contrer. L’approche subtile de ce groupe, qui privilégie la persistance et la discrétion plutôt que les méthodes agressives, représente un défi significatif pour les équipes de sécurité des organisations gouvernementales et des entreprises sensibles.

Face à cette menace évolutive, une approche défensive proactive et multicouche est essentielle. Les organisations doivent non seulement renforcer leurs postures de sécurité pour prévenir de telles intrusions, mais aussi développer leurs capacités de détection et de réponse incidents. La surveillance attentive des activités système, une gestion rigoureuse des privilèges administratifs et une culture de sécurité solide sont des piliers fondamentaux de cette défense.

La menace que représente LongNosedGoblin n’est pas isolée ; elle s’inscrit dans un paysage de cybermenaces de plus en plus sophistiquées, où les acteurs étatiques continuent d’innover dans leurs tactiques et techniques. La vigilance et l’adaptation constante sont les clés pour rester en avance sur ces menaces persistantes et protéger les infrastructures critiques.

À mesure que nous avançons en 2025 et au-delà, les organisations doivent s’attendre à voir émerger des campagnes similaires exploitant d’autres fonctionnalités système légitimes. L’investissement dans les technologies de sécurité avancées, la formation du personnel et les processus de sécurité robustes n’est plus un luxe mais une nécessité pour survivre dans cet environnement de menaces persistantes. En adoptant une approche proactive et holistique de la sécurité, les organisations peuvent non seulement se défendre contre les menaces actuelles comme LongNosedGoblin, mais aussi renforcer leur résilience face aux défis futurs du paysage cybernétique.