Les attaquants exploitent des services de cloud computing légitimes pour gérer les logiciels malveillants et déployer des pipelines d’attaque complexes à plusieurs étapes pour contourner les systèmes de détection d’intrusion. Grâce à cela, les méchants peuvent propager des logiciels malveillants sur le système réseau de la victime, installer des outils de contrôle à distance, prendre le contrôle de l'appareil, voler et supprimer des informations confidentielles.

La campagne ciblait les agences gouvernementales et les organisations industrielles lourdes dans plusieurs pays et territoires de la région Asie-Pacifique (APAC), notamment Taïwan, la Malaisie, la Chine, le Japon, la Thaïlande, Hong Kong, la Corée du Sud, Singapour, les Philippines et le Vietnam. Les pirates utilisent des fichiers compressés contenant du code malveillant, déguisés en documents fiscaux, et les diffusent via des campagnes de phishing sur des e-mails et des applications de messagerie comme WeChat et Telegram. Après le processus complexe d’installation de logiciels malveillants multicouches sur le système, les cybercriminels procéderont à l’installation d’une porte dérobée appelée FatalRAT.

Bien que cette campagne partage certaines similitudes avec des attaques précédentes utilisant des logiciels malveillants d'accès à distance open source (RAT) tels que Gh0st RAT, SimayRAT, Zegost et FatalRAT. Les experts ont constaté un changement significatif dans les tactiques, les techniques et les méthodes d’opération, toutes adaptées pour cibler les organisations et agences sinophones.

L'attaque a été menée via le réseau de diffusion de contenu (CDN) myqcloud et le service d'hébergement Youdao Cloud Notes, deux plateformes de cloud computing chinoises légitimes. Pour éviter la détection et la prévention, les pirates ont utilisé de nombreuses techniques telles que : changer continuellement le serveur de contrôle et la charge utile du logiciel malveillant pour réduire la possibilité d'être tracé, stocker des logiciels malveillants sur des sites Web légitimes pour « contourner » le système de sécurité, exploiter les vulnérabilités des logiciels légitimes pour déployer des attaques, profiter des fonctions légitimes du logiciel pour activer les logiciels malveillants, crypter les fichiers et le trafic réseau pour masquer les activités inhabituelles.

Kaspersky a baptisé la campagne SalmonSlalom pour décrire la manière dont les cybercriminels ont habilement échappé aux défenses du réseau grâce à des tactiques sophistiquées et des méthodes en constante évolution, à l'instar du saumon nageant dans un voyage rapide et ardu qui nécessite endurance et ingéniosité pour surmonter les obstacles.

« Les cybercriminels utilisent des techniques relativement simples pour atteindre leurs objectifs, même dans les environnements de technologies opérationnelles (OT) », a déclaré Evgeny Goncharov, responsable du CERT Kaspersky ICS. « Cette campagne vise à alerter les entreprises du secteur industriel de la région Asie-Pacifique sur la capacité des acteurs malveillants à pénétrer à distance les systèmes OT. Les entreprises doivent sensibiliser à ces menaces, renforcer leurs défenses et réagir proactivement pour protéger leurs actifs et leurs données contre les cyberattaques. »