ESET Research dévoile des outils sophistiqués du groupe TheWizards, aligné avec les intérêts Chinois
ESET Research dévoile des outils sophistiqués du groupe TheWizards, aligné avec les intérêts Chinois ESET a identifié Spellbinder et WizardNet, outils du groupe APT TheWizards aligné sur la Chine. Spellbinder permet à TheWizards d'exécuter des attaques "homme du milieu" locales pour rediriger le trafic vers un serveur malveillant. Ce serveur déploie WizardNet, une porte dérobée caractéristique de TheWizards, via des mécanismes légitimes de mise à jour de logiciels. ESET met en évidence les connexions entre TheWizards et Dianke Network Security Technology (UPSEC). - Malwares
Les chercheurs d'ESET ont étudié Spellbinder, un outil de mouvement latéral employé par le groupe malveillant TheWizards, aligné sur la Chine. Cet outil permet des attaques "homme du milieu" via l'usurpation d'adresses IPv6, redirigeant les mises à jour de logiciels légitimes vers des serveurs compromis. Ces derniers forcent alors le téléchargement et l'exécution de composants malveillants, déployant la porte dérobée WizardNet. Actif depuis au moins 2022, TheWizards cible principalement des particuliers, des sociétés de jeux d'argent et diverses entités aux Philippines, au Cambodge, aux Émirats arabes unis, en Chine continentale et à Hong Kong.
« Nous avons découvert et analysé ces outils pour la première fois en 2022. Nous avons observé une nouvelle version comportant quelques modifications, déployées sur les machines compromises en 2023 et en 2024 », explique Facundo Muñoz, chercheur chez ESET, qui a analysé Spellbinder et WizardNet. « Nos recherches ont permis d'identifier un outil conçu pour réaliser des attaques de type "homme du milieu" en exploitant l'usurpation d'identité IPv6 SLAAC. Ce procédé intercepte et manipule les paquets réseau, permettant aux attaquants de rediriger le trafic et de diffuser des mises à jour malveillantes vers des logiciels légitimes », précise Muñoz.
La charge finale, nommée par les chercheurs d'ESET WizardNet, est un implant modulaire qui se connecte à distance pour exécuter des modules .NET sur la machine compromise. Les chercheurs ont analysé un cas récent en 2024, où la mise à jour du logiciel Tencent QQ a été détournée. Cette version de WizardNet prend en charge cinq commandes, dont trois permettent d'exécuter des modules en mémoire, étendant ses capacités sur le système compromis.
Des liens semblent exister entre TheWizards et l'entreprise chinoise Dianke Network Security Technology (UPSEC), fournisseur de la porte dérobée DarkNights. Selon le NCSC britannique, cette dernière cible notamment les communautés tibétaines et ouïghoures. Bien que TheWizards utilise WizardNet, son serveur est également configuré pour déployer DarkNights sur les appareils Android.
