Luckymouse s'attaque aux systèmes Windows et Linux via l'application de chat Mimi

Selon un avis publié par Trend Micro, l'acteur de menace Luckymouse aurait compromis l'application de messagerie multiplateforme MiMi pour installer des portes dérobées sur Windows, macOS et Linux.

Trend Micro explique que l'attaquant, qui s'identifie également sous le nom d'Emissary Panda, APT27 et Bronze Union, modifie les fichiers d'installation et utilise la version armée de la plateforme de chat MiMi pour installer des échantillons de trojans d'accès à distance.

Après avoir modifié les fichiers d'installation, Luckymouse téléchargeait la version armée de MiMi et installait des échantillons du cheval de Troie d'accès à distance (RAT) HyperBro pour le système d'exploitation Windows et un binaire Mach-O appelé "rshell" pour Linux et macOS.

"Bien que ce ne soit pas la première fois que cette technique soit utilisée, ce dernier développement montre l'intérêt d'Iron Tiger à compromettre les victimes en utilisant les trois principales plateformes : Windows, Linux et macOS. Bien que nous n'ayons pas pu identifier toutes les cibles, ces données démographiques de ciblage démontrent une région géographique d'intérêt. Parmi ces cibles, nous n'avons pu identifier qu'une seule d'entre elles, une société taïwanaise de développement de jeux vidéo", indique Trend Micro Advisory.

Dans un avis distinct publié par la société de sécurité SEKOIA, l'attaque Luckymouse MiMi a été attribuée à des acteurs chinois.

"Comme l'utilisation de cette application en Chine semble faible, il est plausible qu'elle ait été développée comme un outil de surveillance ciblée. Il est également probable qu'à la suite d'une ingénierie sociale menée par l'opérateur, les utilisateurs ciblés soient encouragés à télécharger cette application, prétendument pour contourner la censure des autorités chinoises", explique SEKOIA dans son avis.

Les sources de cette pièce comprennent un article dans OODALOOP.