Les chercheurs d’ESET ont récemment découvert une nouvelle campagne menée par le groupe Winnti ciblant cette fois-ci les universités de Hong Kong. Le moteur de machine learning d’ESET a détecté un échantillon malveillant unique sur plusieurs ordinateurs appartenant à deux d’entre elles.

Outre ces deux cas de compromission confirmés, ESET dispose d’indices selon lesquels au moins trois autres universités seraient concernées. Les cybercriminels avaient pour objectif de voler des informations à partir des machines des victimes. Cette campagne du groupe Winnti a eu lieu alors qu’une vague de protestation citoyenne déferlait sur Hong Kong, notamment dans les universités.

ESET est spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Le cabinet est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints.

Pionnier en matière de détection proactive, ESET protège aujourd’hui plus d’un milliard d’internautes. Dans une récente note, le cabinet a indiqué que le groupe Winnti est responsable de précédentes attaques très médiatisées contre les chaînes d’approvisionnement dans le secteur des logiciels et jeux vidéo, ainsi que d’attaques contre les secteurs de la santé et de l’enseignement.

La dernière étude sur le groupe Winnti, qui cible des serveurs de jeu en ligne pour dérober de la propriété intellectuelle et des certificats numériques, confirme qu’il continue d’utiliser ses fameuses backdoors ShadowPad.

Cependant, dans la campagne dirigée contre les universités de Hong Kong, le lanceur de ShadowPad a été remplacé par une nouvelle version simplifiée, détectée par les produits ESET sous le nom de Win32/Shadowpad.C.

« Détectés dans ces universités en novembre 2019, ShadowPad et Winnti contiennent tous deux des identifiants de campagne et des URL commande et contrôle correspondant au nom des universités, ce qui indique une attaque ciblée », explique Mathieu Tartare, chercheur ESET enquêtant sur le groupe Winnti.

« ShadowPad est une backdoor multi-modulaire et, par défaut, chaque frappe est enregistrée à l’aide du module Keylogger. L’utilisation de ce module par défaut indique que l’objectif des attaquants est de voler des informations sur les ordinateurs des victimes. En revanche, ce module n’était pas intégré dans les variantes décrites dans notre livre blanc », ajoute Mathieu Tartare.