Dans le cadre d’une campagne de cyberespionnage fomentée par un attaquant UTA0137 basé au Pakistan, l’entreprise de cybersécurité Volexity rapporte l’exploitation d’un malware baptisé DISGOMOJI.
Écrit en Go (Golang) et compilé pour des systèmes Linux, le malware utilise Discord comme plateforme de commande et de contrôle, grâce au projet open source discord-c2. Une originalité est le recours à un protocole basé sur des émojis pour la communication des commandes. Des éléments qui expliquent le nom attribué.
DISGOMOJI cible une distribution Linux personnalisée BOSS Desktop (Bharat Operating System Solutions) qui est utilisée par les agences gouvernementales en Inde. Modulaire, ses capacités couvrent l’exécution de commandes arbitraires, la capture d’écran ou encore l’exfiltration de fichiers.
Un panel de commandes en émojis
L’infection par le nuisible peut se faire avec un e-mail de phishing contenant une pièce jointe piégée sous la forme d’une archive ZIP. Cette dernière véhicule un exécutable ELF pour du téléchargement sur l’appareil. Des tâches planifiées (cron) sont notamment ajoutées pour une persistance sur le système.
Dans un billet de blog, Volexity détaille des commandes en émojis qui sont à la disposition de l’attaquant. Elles sont présentées dans le tableau ci-dessous et peuvent constituer un moyen atypique de passer entre les mailles du filet de la détection.
Volexity précise avoir procédé à un signalement auprès du NIC-CERT en Inde (National Informatics Centre – Computer Emergency Response Team) et souligne l’existence de plusieurs versions de DISGOMOJI.