DragonSpark, qui mène diverses activités malveillantes, telles que le déplacement latéral, l’escalade de privilèges et le déploiement de malwares, s’appuie sur des outils open source développés par des développeurs ou des fournisseurs chinois, dont SparkRAT. Peu connu, ce cheval de Troie d’accès à distance, multiplateforme et riche en fonctionnalités (exécution de commandes, manipulation du système, manipulation de fichiers et de processus, vol d’informations), prend en charge les systèmes d’exploitation Windows, Linux et macOS.
« Les acteurs de la menace parlant chinois ont tendance à souvent utiliser des logiciels open source dans leurs campagnes malveillantes. Peu connu, SparkRAT que nous avons observé dans les attaques DragonSpark est l’un des plus récents. Nous estimons que ce RAT restera à l’avenir très attrayant pour les cybercriminels et autres acteurs de la menace » a confirmé SentinelLabs.

Le groupe de cybercriminels utilise également une nouvelle technique pour entraver l’analyse statique et échapper à la détection : l’interprétation du code source Golang.

Selon SentinelLabs, qui continue de surveiller activement DragonSpark, il est très probable que les cybercriminels à l’origine de ces attaques, parlent chinois.