Un acteur de menace suspecté d'être lié à la Chine a été impliqué dans une "intrusion multi-vagues" contre une entreprise pétrolière et gazière azerbaïdjanaise entre fin décembre 2025 et fin février 2026. Cette campagne marque une expansion notable de la portée des cibles du groupe. **FamousSparrow** (alias UAT-9244) a été attribué par **Bitdefender** avec une confiance modérée à élevée. Le groupe partage des recoupements tactiques avec des clusters suivis sous les noms Earth Estries et Salt Typhoon. Les attaques ont impliqué le déploiement de deux backdoors distincts sur trois vagues séparées : **Deed RAT** (alias Snappybee), un successeur de ShadowPad utilisé par plusieurs groupes d'espionnage liés à la Chine, et **TernDoor**, récemment découvert dans des attaques visant l'infrastructure des télécommunications en Amérique du Sud depuis 2024. ### Exploitation persistante d'une vulnérabilité Microsoft Exchange Notamment, la campagne a exploité à plusieurs reprises le même point d'entrée vulnérable de **Microsoft** Exchange Server malgré les tentatives de remédiation. Les attaquants ont échangé les backdoors à chaque fois : Deed RAT le 25 décembre 2025, TernDoor fin janvier/début février 2026, et une version modifiée de Deed RAT fin février 2026. Les attaquants sont soupçonnés d'avoir exploité la chaîne ProxyNotShell pour obtenir un accès initial. "Ce ciblage étend la victimologie connue de FamousSparrow à une région où le rôle de l'Azerbaïdjan dans la sécurité énergétique européenne a considérablement augmenté suite à l'expiration en 2024 de l'accord de transit de gaz ukrainien par la Russie et aux perturbations du détroit d'Ormuz en 2026", a déclaré **Bitdefender** dans son rapport. "L'intrusion illustre que les acteurs exploiteront et ré-exploiteront le même chemin d'accès jusqu'à ce que la vulnérabilité d'origine soit corrigée, que les identifiants compromis soient remplacés, et que la capacité de retour de l'attaquant soit complètement perturbée."  ### Techniques avancées de chargement latéral de DLL L'accès initial a été suivi de tentatives de déploiement de web shells pour un accès persistant et, finalement, du déploiement de Deed RAT à l'aide d'une technique évoluée de chargement latéral de DLL. Cette technique exploite le binaire légitime LogMeIn Hamachi pour charger et lancer une DLL malveillante responsable de l'exécution du payload principal. "Contrairement au chargement latéral de DLL standard qui repose sur un simple remplacement de fichier, cette méthode remplace deux fonctions exportées spécifiques au sein de la bibliothèque malveillante", a expliqué **Bitdefender**. "Cela crée un déclencheur en deux étapes qui conditionne l'exécution du chargeur Deed RAT par le flux de contrôle naturel de l'application hôte, faisant ainsi évoluer les capacités d'évasion de la défense du chargement latéral de DLL traditionnel." Les attaques ont également impliqué des mouvements latéraux pour élargir l'accès au sein du réseau compromis et établir des points d'ancrage redondants. La deuxième vague, près d'un mois après l'intrusion initiale, a vu l'adversaire tenter de déployer TernDoor via Mofu Loader, un chargeur de shellcode précédemment attribué à GroundPeony, en utilisant le chargement latéral de DLL. L'entreprise azerbaïdjanaise a été ciblée une troisième fois vers la fin février 2026, les acteurs de la menace tentant de déployer une version modifiée de Deed RAT, indiquant des efforts pour affiner leur arsenal de malwares. Cet artefact utilise "sentinelonepro [.]com" pour le command-and-control (C2). ### Opération soutenue et adaptative "Cette intrusion ne doit pas être considérée comme un compromis isolé, mais comme une opération soutenue et adaptative menée par un acteur qui a cherché à plusieurs reprises à regagner et étendre son accès au sein de l'environnement de la victime", a conclu **Bitdefender**. "À travers plusieurs vagues d'activité, le même chemin d'accès a été revisité, de nouveaux payloads ont été introduits, et des points d'ancrage supplémentaires ont été établis, soulignant un haut degré de persistance et de discipline opérationnelle."