Le groupe de cyberespionnage chinois Billbug, actif depuis plus d’une décennie, a récemment intensifié ses attaques ciblées contre diverses entreprises et organismes en Asie du Sud-Est. Cette campagne, qui s’est déroulée entre août 2024 et février 2025, révèle l’utilisation de nouvelles techniques malveillantes ainsi qu’une diversification des cibles, touchant des secteurs aussi variés que le contrôle du trafic aérien, les télécommunications ou encore la presse.
**Billbug : un acteur majeur du cyberespionnage asiatique**
Billbug, également connu sous plusieurs noms comme Lotus Blossom ou Spring Dragon, est soupçonné d’avoir des liens étroits avec le gouvernement chinois. Depuis 2009, ce groupe privilégie les cyberattaques visant principalement des agences gouvernementales et militaires dans plusieurs pays asiatiques, notamment les Philippines, le Vietnam, Hong Kong ou encore Taïwan. Toutefois, la récente campagne montre une expansion vers de nouveaux secteurs industriels, comme la construction et le fret aérien.
**DLL sideloading : une nouvelle porte dérobée avancée**
L’outil principal au cœur des attaques de Billbug est un cheval de Troie d’accès à distance dit Sagerunex, qui a évolué dans ses capacités depuis 2016. Plus récemment, le groupe a utilisé une technique appelée DLL sideloading, une méthode sophistiquée qui exploite des exécutables légitimes de fournisseurs de sécurité réputés tels que Trend Micro et Bitdefender pour charger en mémoire des bibliothèques malveillantes à leur insu. Cette technique rend plus difficile la détection par les solutions de sécurité, car elle s’appuie sur des processus officiels et signés numériquement.
Cette variante de porte dérobée permet au logiciel malveillant de s’enregistrer en tant que service système et de persister à travers les redémarrages, rendant les systèmes compromis particulièrement vulnérables aux intrusions prolongées.
**Vol de données et outils d’espionnage**
Au-delà de la porte dérobée, Billbug déploie aussi deux programmes conçus pour voler des informations d’identification stockées dans Google Chrome, nommés ChromeKatz et CredentialKatz. Ces malwares sont capables de récupérer les mots de passe, mais aussi des cookies de session, offrant ainsi aux attaquants la capacité de prendre le contrôle des sessions utilisateur sans passer par les étapes normales d’authentification.
Par ailleurs, le groupe a utilisé un shell inversé capable de surveiller les connexions SSH entrantes sur le port 22, profitant également d’outils open-source comme Zrok, qui facilite l’exposition de services à Internet via des réseaux peer-to-peer sécurisés.
Un autre outil observé altère les horodatages des fichiers pour compliquer les investigations numériques, rendant le travail des experts en cybersécurité encore plus difficile.
**Que faire face à ces menaces ?**
Ce rapport de Symantec vient avec un ensemble d’indicateurs de compromission, notamment des hachages de fichiers servant à détecter les outils malveillants utilisés par Billbug. Les organisations concernées sont invitées à renforcer leur surveillance réseau, à mettre à jour leurs solutions de sécurité et à sensibiliser leurs équipes aux techniques de phishing et d’ingénierie sociale souvent associées à ce type de cyberattaques.
La sophistication croissante des méthodes utilisées par des groupes comme Billbug souligne l’importance d’une posture de sécurité proactive et continue, notamment dans des régions stratégiques comme l’Asie du Sud-Est.
👉 **Source ici**
