Le groupe de pirates chinois Winnti, alias APT41, reste fidèle à lui-même et continue de jouer à la fois sur le tableau de l’espionnage gouvernemental et du piratage crapuleux. Les chercheurs en sécurité Mathieu Tartare et Martin Smolar, de la société Eset, viennent de détecter une nouvelle porte dérobée dans l’arsenal de ce groupe. Baptisée PipeMon, elle s’installe durablement sur Windows sous la forme d’un processeur d’impression, qui — comme le spouleur et le gestionnaire — est l’une des principales briques fonctionnelles du système d’impression dans cet OS.
Les pirates ont utilisé cette porte dérobée pour s’attaquer à des éditeurs de jeux massivement multijoueurs, situé en Corée du Sud et en Taïwan. Dans un cas au moins, elle a permis d’infecter des serveurs de développement, ouvrant la porte à la diffusion de jeux vérolés certifiés par l’éditeur. Dans un autre cas, les chercheurs ont trouvé le malware sur des serveurs de jeux, permettant de manipuler leur déroulement et, probablement, d’effectuer des fraudes sur les monnaies virtuelles.
Ces deux axes d’attaques sont en effet des spécialités de Winnti, qui ciblent le secteur du jeu vidéo depuis au moins 2012. Selon FireEye, ces hackers s’adonnent à l’espionnage en journée, et à la fraude dès que le soleil est tombé. Plus récemment, le groupe s’est fait remarquer par le piratage des serveurs de CCleaner et d’Asus.
Source : Eset