Des certificats de D-Link et "Changing Information Technology Inc." sont utilisés pour signer des portes dérobées

Le groupe de cyber-espionnage BlackTech distribue le logiciel malveillant Plead, qui est signé par des certificats appartenant à D-Link et à une société de cybersécurité baptisée Changing Information Technology Inc, selon les experts de la firme de sécurité ESET. Le code malveillant ainsi signé permet aux attaquants de contourner plusieurs mesures de sécurité. Le groupe cible principalement les pays d'Asie de l'Est, en particulier Taiwan, le Japon et Hong Kong.

Plead est connu pour avoir permis le vol d'informations confidentielles appartenant au gouvernement taiwanais et à des sociétés privées du même pays. Le code du malware est obfusqué et fonctionne en amorçant un BLOB (Binary Large Object) depuis le disque local ou en le téléchargeant. Ce dernier comprend un shellcode chiffré qui télécharge le module Plead final depuis Internet.

Les certificats détournés sont au nombre de deux, un appartenant à D-Link, l'autre à Changing Information Technology Inc. Ils ont été révoqués et remplacés début juillet. Cependant, les attaquants continuent à utiliser le certificat de Changing Information Technology Inc. pour diffuser le code malveillant.