Le groupe chinois APT24, soutenu par l’État, mène depuis plusieurs années une opération d’espionnage construite autour d’une souche de malware jusqu’alors inconnue connue sous le nom de BadAudio, affinant progressivement la façon dont il atteint les victimes et reste caché. Analyse du Threat Intelligence Group de Google montre la campagne est active depuis au moins fin 2022 et mélange le spearphishing classique avec des compromissions de points d’eau et une intrusion à grande échelle dans la chaîne d’approvisionnement qui a touché des milliers de sites Web, tout en concentrant ses efforts sur des systèmes Windows soigneusement sélectionnés.
La première activité liée à BadAudio impliquait la compromission de plus de 20 sites publics légitimes de différents secteurs entre novembre 2022 et septembre 2025. APT24 a injecté du JavaScript personnalisé dans ces sites pour empreintes digitales des visiteurs et identifier les systèmes méritant d’être ciblés. Lorsqu’un visiteur répondait aux critères, le script déclenchait une fausse invite de mise à jour logicielle qui délivrait le chargeur BadAudio, tandis que les autres utilisateurs ne voyaient rien d’inhabituel.
À partir de juillet 2024, le groupe a adopté une tactique d’effet de levier plus élevé en attaquant à plusieurs reprises une société de marketing numérique à Taiwan qui fournit des bibliothèques JavaScript aux sites clients. En une seule phase, ils ont modifié une bibliothèque largement utilisée et enregistré un domaine similaire qui a usurpé un important réseau de diffusion de contenu, leur permettant ainsi d’atteindre plus de 1 000 domaines via des chaînes d’approvisionnement fiables. Plus tard, de fin 2024 à juillet 2025, ils sont retournés chez le même fournisseur et ont caché du JavaScript obscurci dans un fichier JSON falsifié qui a été extrait par un autre script de ce fournisseur. Dans chaque cas, le code injecté a profilé les visiteurs et a renvoyé des données codées en base64 à l’infrastructure de l’attaquant, qui a ensuite décidé de répondre ou non avec une URL d’étape suivante.
En parallèle, à partir d’août 2024 environ, APT24 a utilisé des e-mails de spearphishing usurpant l’identité de groupes de protection des animaux pour transmettre BadAudio directement aux cibles. Certains de ces e-mails étaient liés à des charges utiles hébergées sur des plateformes cloud telles que Google Drive et OneDrive au lieu de serveurs contrôlés par des attaquants. De nombreuses tentatives ont été filtrées en spam, mais les messages incluaient souvent des pixels de suivi afin que les opérateurs puissent voir quand un destinataire ouvrait un e-mail et affiner leur ciblage.
BadAudio lui-même est conçu pour contrecarrer l’analyse. Les chercheurs de Google décrivent le chargeur comme étant fortement obscurci et conçu pour réaliser une exécution via le détournement de l’ordre de recherche des DLL, de sorte qu’une application légitime finisse par charger le composant malveillant. Son code utilise l’aplatissement du flux de contrôle, divisant la logique normale du programme en de nombreux petits blocs coordonnés par un répartiteur et une variable d’état, ce qui complique l’ingénierie inverse automatisée et manuelle.
Une fois exécuté, BadAudio collecte les données de l’hôte telles que le nom de la machine, le nom d’utilisateur et l’architecture, les crypte avec une clé AES codée en dur et les envoie à une adresse de commande et de contrôle fixe. Si les opérateurs choisissent de continuer, le malware télécharge une charge utile cryptée AES, la déchiffre et l’exécute en mémoire via le chargement latéral de DLL. Dans au moins un incident, cette étape de suivi était une Cobalt Strike Beacon, bien que Google n’ait pas pu confirmer que cet outil avait été utilisé pour toutes les intrusions. Malgré trois années d’utilisation, BadAudio a pour la plupart échappé à la détection antivirus : sur huit échantillons partagés par Google, seuls deux sont signalés par plus de 25 produits sur VirusTotal, tandis que le reste, y compris les binaires créés en décembre 2022, sont détectés par au plus cinq moteurs. Pour Google, cette combinaison de portée de la chaîne d’approvisionnement, de ciblage sélectif et de faible visibilité souligne la capacité d’APT24 à maintenir un espionnage persistant et adaptatif avec un morceau de code relativement petit et bien caché.
