Des chercheurs en cybersécurité ont identifié une vaste opération de piratage visant des institutions médicales européennes.
Entre juin et octobre 2024, plusieurs institutions de santé en Europe ont été la cible d’une campagne d’attaques sophistiquées. Selon Orange Cyberdefense, un groupe de hackers, baptisé « Green Nailao », aurait exploité des failles de sécurité pour s’infiltrer dans ces infrastructures critiques. Leur arsenal ? Deux logiciels malveillants bien connus du cyberespionnage chinois, ShadowPad et PlugX, ainsi qu’une nouvelle souche de ransomware, NailaoLocker.
Des outils de cyberespionnage bien rodés
ShadowPad et PlugX ne sont pas des inconnus dans le paysage du cyberespionnage. ShadowPad, apparu en 2015, a déjà été impliqué dans des attaques visant des gouvernements, des entreprises technologiques et le secteur de l’énergie. Sa dernière version, détectée dans cette campagne, a été modifiée pour renforcer sa furtivité et éviter les analyses de cybersécurité.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
De son côté, PlugX, actif depuis 2008, a d’abord ciblé des entités au Japon avant de se répandre à travers l’Asie. Sa présence dans cette attaque européenne marque une évolution notable de son champ d’action.
Le modus operandi des hackers repose sur l’exploitation de vulnérabilités présentes dans des logiciels de sécurité développés par une firme israélienne. Une fois infiltrés, ils déploient ces malwares pour prendre le contrôle des systèmes et accéder à des bases de données sensibles.
NailaoLocker : un ransomware inattendu et maladroit
L’élément surprenant de cette campagne reste l’introduction d’un ransomware inédit, baptisé NailaoLocker. Contrairement aux attaques généralement attribuées aux groupes de cyberespionnage chinois, où la priorité est souvent la collecte discrète d’informations, ce malware a un objectif plus direct : extorquer de l’argent.
Son mode opératoire est relativement simple : il chiffre les fichiers des victimes et exige un paiement en Bitcoin via une adresse ProtonMail. Malgré son efficacité, les experts pointent des incohérences techniques dans sa conception, suggérant un développement précipité ou l’intervention de pirates moins expérimentés.
Pourquoi un tel ransomware dans une attaque aussi sophistiquée ? Certains analystes avancent l’hypothèse d’un double usage : espionnage et financement. Les groupes de hackers affiliés à des États ont de plus en plus recours à des rançongiciels pour diversifier leurs revenus et masquer certaines opérations.
Une intrusion méticuleuse et une exécution bien huilée
Le mode opératoire des pirates suit une séquence redoutablement efficace. Ils débutent par exploiter des mots de passe faibles et contourner les authentifications multi-facteurs pour s’introduire dans les systèmes cibles. Une fois en place, ils procèdent à une cartographie du réseau, avant de se déplacer latéralement via le Protocole de Bureau à Distance (RDP) pour escalader leurs privilèges.
L’étape finale repose sur une technique bien connue : le sideloading de DLL. À travers un exécutable signé par Beijing Huorong Network Technology Co., Ltd, ils installent un chargeur baptisé NailaoLoader, qui déclenche l’exécution de NailaoLocker. Pour garantir son déploiement, ils utilisent Windows Management Instrumentation (WMI), un outil légitime détourné à des fins malveillantes.
Le secteur de la santé, une cible de choix
Ce type d’attaques contre le secteur médical n’a rien d’anecdotique. Les hôpitaux et les laboratoires traitent des données hautement sensibles, ce qui en fait des cibles idéales pour les cybercriminels. Le vol d’informations médicales ou la paralysie des systèmes peuvent entraîner des conséquences graves, bien au-delà des pertes financières.
Les précédentes campagnes de cyber espionnage attribuées à la Chine, notamment celles du groupe APT41, avaient déjà montré un intérêt marqué pour le secteur pharmaceutique. En 2020, des attaques similaires avaient visé des entreprises travaillant sur des vaccins contre le Covid-19.
Les experts en cybersécurité craignent que ces offensives ne s’intensifient. Si l’ajout d’un ransomware semble être une nouveauté tactique, l’utilisation croissante de techniques avancées pour contourner les protections laisse entrevoir des attaques de plus en plus difficiles à contrer. Une tendance qui, selon eux, devrait encore s’accélérer dans les mois à venir.