jeudi, juillet 2, 2026
35.5 C
Tunisie

Cybersécurité avancée : FamousSparrow réapparaît avec deux nouvelles variantes de SparrowDoor et intègre pour la première fois ShadowPad

Le groupe APT FamousSparrow, affilié à la Chine, refait surface avec des outils malveillants d’un nouveau niveau de complexité. D’après les chercheurs de ESET Research, cette campagne ciblée révèle un perfectionnement significatif des capacités offensives du groupe, notamment via deux versions inédites de leur backdoor SparrowDoor et l’adoption de ShadowPad, l’un des implants les plus sophistiqués du cyberarsenal chinois.

SparrowDoor : une backdoor réécrite, mieux architecturée et optimisée

Les deux nouvelles versions détectées de SparrowDoor introduisent des modifications majeures en matière de structure logicielle. On y retrouve une parallélisation de l’exécution des commandes, ce qui permet au malware de traiter plusieurs instructions simultanément, augmentant ainsi sa vitesse d’action tout en réduisant la probabilité de détection par les solutions EDR/XDR.

Selon Alexandre Côté Cyr, chercheur chez ESET, « bien que réécrites, ces versions conservent des artefacts typiques des itérations précédentes, ce qui facilite leur attribution. Les chargeurs utilisés présentent également un chaînage familier déjà observé dans d’autres opérations de FamousSparrow ».

Une chaîne d’intrusion typique des groupes APT chinois

L’accès initial au système se fait via un webshell déployé sur un serveur IIS vulnérable. Dans tous les cas étudiés, les machines compromises tournaient sur des versions obsolètes de Windows Server et Microsoft Exchange, connues pour héberger plusieurs CVE exploitables. Une fois l’accès établi, le groupe déploie un arsenal mixte :

  • Malwares personnalisés (SparrowDoor)
  • Implants partagés (ShadowPad)
  • Outils open source ou modifiés (comme Mimikatz, Nmap, ou diverses shells inversées)

Les charges utiles permettent l’exécution de commandes arbitraires, la manipulation de fichiers, l’enregistrement de frappes clavier (keylogging), la capture d’écrans, et l’exfiltration de données – avec des modules plug-and-play permettant une adaptation selon les cibles.

ShadowPad : un implant modulaire de nouvelle génération

L’apparition de ShadowPad marque une étape importante. Développé initialement par des groupes liés à Winnti, cet outil modulaire fonctionne en plugin et peut être intégré dans des infrastructures C2 complexes. Son utilisation par FamousSparrow démontre une convergence des outils au sein des groupes APT chinois, ou à tout le moins une mutualisation stratégique des ressources malveillantes.

Attribution, identité et complexité des groupes APT

En septembre 2024, le Wall Street Journal évoquait des attaques contre des FAI américains attribuées à Salt Typhoon, groupe que Microsoft assimile à FamousSparrow et GhostEmperor. ESET remet cette interprétation en question, soulignant que « peu de similitudes techniques existent entre GhostEmperor et FamousSparrow, et que ce dernier montre des patterns d’activité distincts ».

Cette distinction est cruciale dans l’analyse de la menace : chaque groupe APT dispose de sa propre stack logicielle, de ses TTP (tactics, techniques and procedures) et de ses chaînes de compromission, bien que des overlaps existent, notamment par réutilisation ou échange de modules comme ShadowPad.

Focus technique : chronologie et cibles

  • 2019-2021 : FamousSparrow ciblait principalement les chaînes hôtelières, via des vulnérabilités ProxyLogon.
  • 2022-2024 : Changement de focus avec des attaques contre :
    • Une institution gouvernementale hondurienne
    • Un institut de recherche mexicain
    • Un groupe financier américain, avec une compromission majeure en juin 2024

Ce qu’il faut retenir pour les professionnels IT

  • Patch management : Les systèmes non mis à jour restent la première porte d’entrée des APT.
  • Segmentation réseau : Minimiser les déplacements latéraux en compartimentant les accès.
  • Détection comportementale : Les IOCs de FamousSparrow évoluent, mais les patterns de comportement persistent.
  • Threat intelligence : La collaboration entre fournisseurs de sécurité (ESET, Microsoft, etc.) reste essentielle pour enrichir les bases YARA/Sigma/Suricata.

Pour accéder à l’analyse complète, incluant les IOCs, les chaînes d’exécution et les hachages SHA-256 des échantillons, rendez-vous sur le blog officiel d’ESET : WeLiveSecurity.com

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires