Spellbinder : L’Arme Furtive d’Attaques « Homme du Milieu » via IPv6
Spellbinder se distingue comme un outil de mouvement latéral d’une efficacité redoutable, spécifiquement conçu pour orchestrer des attaques « homme du milieu » (MITM) localisées. Son ingéniosité réside dans sa capacité à exploiter une vulnérabilité subtile du protocole IPv6 SLAAC (StateLess Address AutoConfiguration) pour usurper des adresses réseau. Cette manipulation technique de pointe permet aux attaquants de TheWizards de rediriger de manière invisible le trafic réseau légitime.
Plus précisément, cette redirection cible de manière stratégique le trafic destiné aux mises à jour logicielles, déviant les requêtes vers des serveurs malveillants entièrement sous le contrôle du groupe TheWizards. Ce procédé insidieux a pour conséquence que des logiciels pourtant légitimes, lors de leurs tentatives de mise à jour, téléchargent à leur insu des composants malveillants. Ces derniers agissent comme des vecteurs d’infection, activant l’implant WizardNet, une porte dérobée hautement sophistiquée, dont le but est d’espionner et de prendre le contrôle des machines compromises.
WizardNet : La Porte Dérobée Modulaire et Persistante, Cœur de l’Espionnage
Identifiée par ESET comme la charge finale déployée par Spellbinder, WizardNet représente une porte dérobée (backdoor) modulaire d’une grande complexité. Sa capacité à exécuter à distance des modules .NET sur les systèmes infectés en fait une véritable plateforme d’accès à distance pour les cyberespions. Cette flexibilité permet aux attaquants d’adapter leurs opérations et de déployer des fonctionnalités spécifiques en fonction de leurs objectifs.
En 2024, ESET a notamment documenté une attaque ciblée utilisant WizardNet contre la mise à jour du logiciel Tencent QQ, un service de messagerie massivement utilisé en Chine. Cette version particulière de WizardNet supporte un ensemble de cinq commandes principales, parmi lesquelles trois sont dédiées à l’exécution de modules directement en mémoire vive. Cette technique, appelée « fileless malware », rend l’analyse forensique et la détection par les solutions de sécurité traditionnelles beaucoup plus difficiles, augmentant ainsi la discrétion et la persistance de l’attaque.
Cibles Stratégiques : L’Asie et le Moyen-Orient dans le Viseur de TheWizards
Les opérations d’attaques orchestrées par TheWizards ne sont en aucun cas le fruit du hasard ; elles sont caractérisées par un ciblage précis et délibéré. Depuis au moins 2022, le groupe a systématiquement visé des individus et des organisations dans des pays spécifiques, notamment les Philippines, le Cambodge, les Émirats arabes unis, la Chine continentale et Hong Kong. Au-delà des entités gouvernementales ou des infrastructures critiques, les sociétés de jeux d’argent, ainsi que d’autres entités jugées stratégiques pour leurs informations, figurent parmi les principales cibles de ce groupe de cyberespionnage. Ce ciblage géographique et sectoriel met en lumière les motivations économiques et politiques derrière ces attaques.
Dianke (UPSEC) : Des Connexions Inquiétantes avec une Entreprise Chinoise
Les investigations approfondies menées par les chercheurs d’ESET ont mis en lumière des liens particulièrement troublants entre TheWizards et Dianke Network Security Technology (UPSEC), une entreprise chinoise. Dianke est déjà tristement célèbre pour avoir fourni la porte dérobée DarkNights, un outil malveillant documenté pour cibler des minorités sensibles telles que les Tibétains et les Ouïghours, comme l’a rapporté le Centre national de cybersécurité britannique (NCSC).
Bien que TheWizards privilégie l’utilisation de WizardNet dans ses opérations, ESET a découvert un fait préoccupant : les serveurs de commande et de contrôle de TheWizards sont également configurés pour déployer DarkNights sur des appareils Android. Cette capacité élargit considérablement leur champ d’action, leur permettant d’atteindre un éventail plus large de cibles via différentes plateformes et de diversifier leurs outils d’attaque.
ESET Research : Une Enquête Continue sur l’Évolution de TheWizards
L’engagement d’ESET dans la lutte contre ces menaces avancées est continu. Selon Facundo Muñoz, chercheur chez ESET, « nous avons découvert et analysé ces outils pour la première fois en 2022. Nous avons observé une nouvelle version comportant quelques modifications, déployée sur les machines compromises en 2023 et 2024 ». Cette observation directe sur plusieurs années souligne l’évolution constante des tactiques et des capacités techniques du groupe TheWizards.
Les analyses approfondies d’ESET démontrent une sophistication croissante dans les techniques employées par le groupe, qui adapte constamment ses outils pour échapper à la détection. Pour les professionnels de la cybersécurité et toute personne souhaitant une analyse plus technique et détaillée des rouages de ces attaques, ESET recommande vivement de consulter leur rapport complet disponible sur WeLiveSecurity.com : « Le groupe APT Wizards utilise l’usurpation d’identité SLAAC pour effectuer des attaques de type adversaire intermédiaire ».
