Un collectif de pirates, considéré comme étatique, a été identifié sans connaitre sa réelle allégeance. Des cibles russes dans les zones occupées de l’Ukraine ont été espionnées pendant un long moment, tout comme deux soldats ukrainiens.

Un nouveau groupe de hackers, potentiellement étatique, a été détecté. Dans un rapport publié ce 10 mai 2023, la société de cybersécurité Malwarebytes attribue cinq opérations entre 2020 et 2023 à ce collectif, qu’elle a baptisé Red Stinger. Les motivations et l’allégeance du groupe ne sont pas encore claires. Cependant, les campagnes de vol de données sont persistantes et suffisamment graves pour les suivre de près. La majorité des victimes sont russes, avec quelques cibles ukrainiennes très précises.

Durant ces opérations, les attaquants ont compromis les ordinateurs des victimes afin d’exfiltrer des captures d’écran, les frappes de claviers, des documents, et même d’enregistrer le son de leurs microphones. Le collectif a ciblé plusieurs responsables des référendums factices organisés en septembre 2022 dans les régions occupées de l’Ukraine, notamment à Donetsk et Marioupol.

Le début d'un mail personnalisé envoyé aux cibles, avec le sceau de la Fédération de Russie. // Source : Malwarebytes
Le début d’un mail personnalisé envoyé aux cibles, avec le sceau de la Fédération de Russie. // Source : Malwarebytes

Deux militaires basés dans le centre de l’Ukraine ont été directement ciblés, avec de nombreuses données exfiltrées. « Nous avons déjà vu des cas de surveillance ciblée, mais le fait qu’ils collectent des enregistrements de microphones et des données de clés USB est inhabituel. »

Des faux sites pour des postes dans les régions occupées

La société de cybersécurité Kaspersky a aussi identifié ce groupe et a découvert qu’il piégeait des dirigeants dans les zones occupées, avec des mails personnalisés contenant un prétendu décret envoyés par les autorités en place.

« Les logiciels malveillants et les techniques utilisés dans cette campagne ne sont pas particulièrement sophistiqués, mais ils sont efficaces, et le code n’a aucun lien direct avec ce que l’on a rencontré dans le passé », ont écrit les chercheurs de Kaspersky.

Parmi les autres méthodes, un site web de phishing a été créé par ce collectif, laissant croire qu’un concours était organisé pour pourvoir prétende à des postes dans les villes occupées. Les gagnants se sont vus promettre 1 000 000 de roubles pour un programme de formation choisi personnellement dans la Fédération de Russie.

Un faux site pour accéder à un prétendu concours offrant des postes dans les régions occupées de Donetsk. // Source : Malwarebytes
Un faux site pour accéder à un prétendu concours offrant des postes dans les régions occupées de Donetsk. // Source : Malwarebytes

Les chercheurs de Malwarebytes ont découvert que deux des ordinateurs à l’origine du malware ont été touchés par leur propre produit. Cela peut arriver par erreur ou dans une phase de test des développeurs.

Autres indices étranges, le choix de l’anglais comme langue par défaut du logiciel malveillant et l’utilisation de l’échelle de température Fahrenheit pour afficher le temps, ce qui suggère probablement l’implication d’anglophones.

Impossible avec tous ces critères de déterminer l’allégeance réelle du groupe. Ce qui est sûr, c’est que le principal motif de l’attaque était la surveillance et la collecte de données.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !