Des pirates informatiques chinois ont utilisé l'application UyghurEditPP trojanisée pour cibler les militants ouïghours.

Des pirates informatiques liés à la Chine ont ciblé des militants ouïghours à l'aide d'une application UyghurEditPP trojanisée dans le cadre d'une campagne de spear-phishing, révèlent les chercheurs de Citizen Lab.

Citizen Lab révèle une campagne de spear phishing ciblant les militants ouïghours , déployant un logiciel malveillant de surveillance déguisé en outil linguistique ouïghour légitime. Découvrez les méthodes d'attaque et l'implication présumée du gouvernement chinois.

En mars 2025, plusieurs personnalités du Congrès mondial ouïghour (WUC), une organisation internationale basée à Munich qui défend les droits du peuple ouïghour, sont devenues la cible d’une tentative de cyberespionnage soigneusement orchestrée.

Des chercheurs du Citizen Lab de l'Université de Toronto rapportent que ces individus ont reçu des avertissements de Google, indiquant que leurs comptes en ligne étaient attaqués, prétendument par des acteurs parrainés par l'État.

La méthode utilisée dans cette campagne était le spear phishing , une forme d'attaque ciblée où les courriels sont conçus pour paraître légitimes et fiables auprès de certaines personnes. Dans ce cas précis, les courriels malveillants se faisaient passer pour un contact connu d'une organisation partenaire du WUC.

Ces courriels contenaient des liens vers Google Drive, qui, en cliquant dessus, menaient au téléchargement d'une archive protégée par mot de passe. Cette archive contenait une version compromise d' UyghurEditPP , un véritable outil open source de traitement de texte et de correction orthographique spécialement conçu pour la langue ouïghoure.

Les destinataires ignoraient que cette application apparemment inoffensive était infectée par un cheval de Troie, ce qui signifiait qu'elle contenait une porte dérobée cachée. Une fois UyghurEditPP infecté exécuté sur l'ordinateur de la victime, cette porte dérobée collectait silencieusement des informations système, notamment le nom de la machine, le nom d'utilisateur, l'adresse IP, la version du système d'exploitation et un hachage unique dérivé du matériel. Ces données étaient ensuite transmises à un serveur de commande et de contrôle (C2) distant.

Les opérateurs du serveur pourraient alors renvoyer des instructions à l'appareil infecté, leur permettant d'effectuer diverses actions malveillantes telles que le téléchargement de fichiers à partir de la cible, le téléchargement de fichiers malveillants supplémentaires (y compris d'autres logiciels malveillants) et l'exécution de commandes via des plugins téléchargés.

L'analyse de l'infrastructure de la campagne par le Citizen Lab révèle deux groupes de commandement et de contrôle distincts. Le premier, probablement actif entre juin 2024 et février 2025, utilisait des noms de domaine imitant le développeur de l'outil UyghurEditPP ( gheyretcom, gheyretnet et uheyretcom) .

Le second, ciblant le WUC entre décembre 2024 et mars 2025, utilisait des sous-domaines enregistrés via Dynu Services, incorporant des mots ouïghours mais ne faisant pas directement référence à l'outil ou à son développeur.

Les deux clusters partageaient le même certificat Microsoft et utilisaient des adresses IP appartenant à Choopa LLC, un hébergeur utilisé par divers acteurs de la cybermenace. Cette double infrastructure indique soit une évolution des tactiques des attaquants, soit un ciblage de différents segments de la communauté ouïghoure.

De plus, les chercheurs ont souligné le haut niveau d'ingénierie sociale dans la méthode de diffusion du logiciel malveillant de surveillance, qui n'était pas elle-même aussi avancée technologiquement. Les attaquants ont démontré une connaissance approfondie de la communauté ouïghoure, s'appuyant sur la confiance du développeur original d'UyghurEditPP, connu des membres du WUC.

Cela suggère une opération hautement personnalisée et ciblée, qui pourrait débuter en mai 2024. La campagne impliquait probablement (PDF) des liens avec le gouvernement chinois, s'alignant sur leurs efforts connus pour mener une répression transnationale contre la communauté ouïghoure.