10 ans après, le gang de cybecriminels du "Mask" fait son grand retour, hélas pour le pire !

The Mask, ou Careto, gang de hackers hispanophone, revient après 10 ans d'absence pour déployer une nouvelle campagne de malware sophistiquée, pour le moment en Amérique latine et en Afrique centrale.

Ils reviennent et ils sont encore plus méchants. La preuve, c'est que les chercheurs du laboratoire Secure List de Kaspersky les ont classés en APT, pour menaces persistantes avancées.

Vous ne les connaissez ou reconnaissez peut-être pas ? C'est normal. On n'avait plus vu depuis 10 ans le gang hispanophone The Mask, ou Careto. Un délai largement suffisant, compte tenu de l'augmentation exponentielle des cyberpiratages, pour se faire oublier… ou pour préparer un grand retour.

« FakeHMP », « Careto2 », « Goreto » et « Implant MDaemon », les implants comme nouvelle méthode de cyberattaque de The Mask

L'implant est peut-être la raison de la longue absence de 10 ans de The Mask, à la manière de Line Dancer, utilisé dans la cyberattaque des pare-feu Cisco en avril 2024, pour opérer.

Les implants sont des infections intentionnelles de la part des pirates. Contrairement aux erreurs qui peuvent conduire à des malwares, ils sont délibérément déployés par les pirates après avoir obtenu un accès aux systèmes. Cet accès peut se faire par des moyens numériques ou physiques. Par exemple, un pirate peut insérer un périphérique USB pour implanter un malware sur un système. Les vulnérabilités ne prennent pas toujours une forme numérique. Les personnes peuvent également constituer une vulnérabilité, comme un utilisateur qui tombe dans le piège d'un cheval de Troie, ou un acteur malveillant en interne qui implante un malware ou vole des données.

En l'occurrence, The Mask en a utilisé quatre pour relancer sa machine cybermalveillante, que Kaspersky a baptisés « FakeHMP », « Careto2 », « Goreto » et « Implant MDaemon ». Alors que Careto2 et Goreto sont spécialisés dans la capture de frappe de clavier et d'écran, FakeHMP vise plus large, en ajoutant à ces fonctionnalités l'enregistrement du micro et le vol de données sensibles, tels les identifiants de connexion ou de documents classés confidentiels. MDaemon, quant à lui, a fait office d'éclaireur en analysant la configuration des systèmes des victimes, avant d'exécuter des commandes par mouvement latéral, a la mano, pour être sûr d'adapter la méthode au réseau ciblé.

MDaemon, le serveur de messagerie utilisé comme porte d'entrée par The Mask pour son retour

Selon Georgy Kucherin, chercheur en sécurité chez Kaspersky, la nature et la méthode des cyberattaques menées récemment par The Mask prouvent que le groupe n'a rien laissé au hasard et est resté, durant son absence, à l'affût des dernières méthodes. « Les implants récemment découverts sont des cadres multimodaux complexes, avec des tactiques et des techniques de déploiement à la fois uniques et sophistiquées. Leur présence indique la nature avancée des opérations de Careto », explique-t-il.

Pourtant, le retour de The Mask ne s'est pas fait par la grande porte, mais plutôt par le serveur de messagerie MDaemon, utilisé par ses deux victimes, ce qui donne un petit indice sur la nature, sinon l'identité de la cible : de petites ou moyennes entreprises. Après avoir forcé cette porte, ils en ont installé une autre, mais une back door, sur ce serveur, pour prendre le contrôle du réseau et profiter, au passage, de la présence du scan de virus Hitman Pro, utilisé par ses entreprises en guise de protection pour mettre en place leur fameuse persistance. Quant aux quatre implants, Kaspersky a préféré rester discret sur la faille qui a permis à The Mask de les introduire, pour éviter d'aiguiser les appétits d'autres gangs. Pas folle, la guêpe.

Sources : Kaspersky, Dark Reading