Symposium sur la sécurité des technologies de l'information et des communications

IronHusky est un acteur de menace persistante avancée sinophone apparu en 2017. Ses cibles principales sont les agences gouvernementales, qu'il attaque à des fins de cyberespionnage. Ce groupe est particulièrement connu pour exploiter les vulnérabilités afin de déployer ses implants, qu'il s'agisse de failles zero-day ou déjà connues. Par exemple, en 2018, IronHusky a utilisé la vulnérabilité CVE-2017-11882 pour diffuser les implants malveillants PlugX et Poison Ivy lors d'une campagne liée à la rencontre entre le Fonds monétaire international et le gouvernement mongol. De plus, en 2021, ce groupe a été observé en train d'exploiter la faille zero-day CVE-2021-40449 pour attaquer des organisations militaires, de défense et diplomatiques situées en Europe et en Asie via une porte dérobée nommée MysterySnail.

Depuis la publication de l'exploit CVE-2021-40449 en 2021, aucune information n'a filtré concernant les activités de cet acteur de menace, qui a disparu des radars des chercheurs. Nous avons toutefois récemment découvert une nouvelle campagne de cet acteur, ciblant des institutions gouvernementales, des organismes scientifiques et des entreprises industrielles. Cette campagne a débuté mi-2024 et ses dernières traces ont été observées fin 2025.

Dans cet article, nous fournissons des informations sur cette campagne, en nous concentrant plus particulièrement sur l'évolution des implants uniques observés, notamment des versions modifiées du backdoor MysterySnail mentionné précédemment, ainsi que sur les méthodes d'exfiltration inhabituelles utilisées et les erreurs de sécurité opérationnelle commises par les attaquants. Bien que tous les implants observés soient différents, certains présentent un point commun : ils contiennent de multiples références aux États-Unis, ce qui suggère que les développeurs des logiciels malveillants découverts éprouvent un certain intérêt pour la culture américaine.