La surveillance des populations tibétaine et ouïghour par la Chine ne faiblit pas. Et dans cette chasse aux dissidents, les armes numériques ont allégrement leur place dans la stratégie de la peur, de la dissuasion et de la répression déployée à grande échelle. D'après l'éditeur en solutions de sécurité Proofpoint, un cybergroupechinois répertorié en tant que TA413 sévit et a trouvé un moyen classique mais non moins efficace de piéger de nombreux activistes tibétains. En l'occurrence piéger une extension du navigateur web Firefox à des fins malveillantes et également diffuser des malwares Scanbox et Sepulcher. « On pense que cet acteur est un groupe APT aligné avec l'État chinois avec des objectifs stratégiques liés à l'espionnage et à la surveillance des dissidents civils qui incluent la diaspora tibétaine », indique Proofpoint dans un rappoer.
Les activités du cybergroupe chinois TA413 ne datent pas d'hier, l'éditeur de sécurité remonte à 2019 son implication dans l'élaboration d'attaques exploitant des failles de sécurité. Depuis début 2021, ces hackers ont opté pour un mode opératoire basé sur du phishing, en relayant auprès d'organisations tibétaines des emails prétendument envoyés par l'association des femmes tibétaines. Une mécanique bien huilée qui permet, une fois que la victime ouvre un lien piégé présent dans le message, d'atterrir sur une URL contrôlée par les cyberpirates depuis laquelle des scripts malveillants et une fausse mise à jour du lecteur Adobe est exécutée. Avec à la clef l'installation d'une extension piégée Firefox au format .XPI. Cette dernière va usurper la procédure d'authentification à des comptes liés à Google (Gmail, G-Suite, Tou Tube...) pour récupérer les identifiants des utilisateurs.
Un arsenal technique limité mais efficace
« L'extension de navigateur FriarFox semble être largement basée sur un outil open source nommé Gmail Notifier. Il s'agit d'un outil gratuit disponible entre autre sur Github, la boutique d'extensions du navigateur Mozilla et l'App Store. Il permet aux utilisateurs de recevoir des notifications et d'effectuer certaines actions visant jusqu'à cinq comptes Gmail connectés simultanément. Il existe également des versions de cet outil pour Google Chrome et Opera, mais FriarFox est actuellement la seule instance de navigateur identifiée ciblant les navigateurs FireFox en tant que fichier XPI », précise Proofpoint. « L’introduction de l’extension de navigateur FriarFox dans l’arsenal du TA413 diversifie davantage un répertoire d’outillage varié, bien que techniquement limité. L'utilisation d'extensions de navigateur pour cibler les comptes Gmail privés des utilisateurs combinée à la livraison du malware Scanbox démontre la malléabilité de TA413 lors du ciblage de communautés dissidentes. Ces communautés ont une protection sécuritaire traditionnellement faible et les cybergroupes dont TA413 en profitent en adaptant leurs outils et techniques tout en continuant à s'appuyer sur de l'ingénierie sociale éprouvées ».