Microsoft vient de tirer la sonnette d'alarme concernant une menace cybernétique d'envergure. Un botnet chinois sophistiqué, baptisé Quad7, mène actuellement des attaques massives contre des organisations occidentales, révèle un nouveau rapport des experts en cybersécurité du géant technologique.

Le groupe malveillant, identifié sous le nom de Storm-0940, déploie une stratégie d'attaque particulièrement insidieuse. Leur méthode ? Des tentatives systématiques de connexion utilisant différents mots de passe, une technique connue sous le nom de “password spray”. Une fois l'accès obtenu, les pirates s'empressent d'établir une présence permanente dans les systèmes compromis.

Selon Microsoft, cette campagne d'attaques vise principalement l'espionnage. Dans leur ligne de mire : des think tanks, des organisations gouvernementales, des ONG, des cabinets d'avocats et des industries de défense. La sophistication de ces attaques suggère une opération minutieusement orchestrée.

Lire également – Le plus grand réseau de botnet de l’histoire vient d’être démantelé, son ampleur va vraiment vous étonner

Le botnet chinois a un fonctionnement bien particulier

Le modus operandi du groupe est particulièrement subtil. Microsoft observe que CovertNetwork-1658, l'infrastructure utilisée par les attaquants, procède avec une extrême précaution. « Dans environ 80% des cas, ils ne tentent qu'une seule connexion par compte et par jour », précisent les chercheurs. Cette approche prudente leur permet d'éviter la détection par les systèmes de sécurité traditionnels.

Le botnet Quad7, qui tire son nom de sa prédilection pour le port 7777, ne cesse d'évoluer. Initialement découvert par le chercheur Gi7w0rm et l'équipe de Sekoia, il ciblait exclusivement les routeurs TP-Link. Aujourd'hui, son arsenal s'est considérablement élargi pour inclure les routeurs ASUS, les points d'accès VPN Zyxel, les routeurs sans fil Ruckus et les serveurs médias Axentra.

Les attaquants ont développé des malwares sur mesure pour chaque type d'appareil, créant différents “clusters” d'infection. Ces groupes, identifiés par des variantes du terme “login” (rlogin, xlogin, alogin, etc.), varient en taille, certains comptant des milliers d'appareils infectés, d'autres à peine quelques-uns.

La rapidité d'action des pirates est particulièrement préoccupante. Dans certains cas, les systèmes sont compromis le jour même où les mots de passe sont découverts, permettant l'installation immédiate d'outils d'accès à distance (RAT) et de proxys pour maintenir leur accès. On vous conseille donc d’être particulièrement prudent si vous utilisez l’un des routeurs mentionnés plus haut, car il se pourrait bien que sa sécurité ait été compromise par ce nouveau botnet chinois.