Le géant du web Google a dévoilé une campagne de cyberespionnage lancée par un groupe de hackers du Kremlin. Ces derniers ont tenté de piéger de nombreuses personnes, membres d’ONG ou liées à des activités de l’OTAN.

Google vient de repérer une nouvelle campagne de cyberespionnage russe. Dans un billet de blog publié ce 18 janvier 2024, les experts en cyber du groupe dévoilent des méthodes – assez classiques – employées par les agents du renseignement du Kremlin. Leurs cibles sont des activistes membres d’ONG, d’anciens membres de l’armée ou des responsables de l’OTAN. Les pirates seraient à la recherche d’informations, d’activités sur des déplacements liées à l’Ukraine.

Google indique que le groupe de hackers étatiques baptisé « Cold River » serait derrière cette campagne. Ces agents russes cherchent à tromper leur victime avec des méthodes de spear phishing. Concrètement, ils vont usurper l’identité de leurs proches, de leurs collègues ou d’une connaissance. Les pirates tenteront de créer un lien de confiance avant de piéger la victime.

Les dernières découvertes de Google révèlent des documents PDF inoffensifs comme point de départ de la campagne dès novembre 2022, pour inciter les cibles à ouvrir les fichiers. « Coldriver présente ces fichiers comme un nouvel article que la personne usurpée voudrait publier, sollicitant les commentaires de la cible. Lorsque l’utilisateur ouvre le PDF inoffensif, le texte apparaît crypté pour des raisons de pseudo-sécurité. »

Une méthode d’espionnage russe déjà repérée par les experts en cyber

Les hackers vont ensuite envoyer un présumé « déchiffreur », nommé « Proton-decrypter.exe », à la victime afin que celle-ci puisse ouvre le fameux article. Ce programme malveillant offre en réalité un accès à distance aux pirates.

Le choix du « Proton-decrypter.exe » est un classique de ces hackers, les chercheurs de Microsoft avaient déjà repéré des PDF stockés sur Proton Drive par ces agents du Kremlin.

Protonmail est un célèbre service de messagerie, réputé sécurisé. Il est employé par de nombreux chercheurs, journalistes ou dissidents pour limiter les fuites de données. Il permet également aux hackers d’offrir un peu de légitimité à leur couverture.

En décembre dernier, les gouvernements britannique et américain ont sanctionné deux membres russes de Coldrive, Ruslan Aleksandrovich Peretyatko et Andrey Stanislavovich Korinets, pour leur implication dans la conduite des opérations de spear phishing.

Les visages de deux hackers du groupe Coldriver. // Source : FBI
Les visages de deux hackers membres du groupe Coldriver. // Source : FBI

L’entreprise française de cybersécurité Sekoia a rendu publics les domaines de phishing utilisés par ces pirates. « Calisto (autre nom de Coldriver) contribue aux efforts des services de renseignement russes pour soutenir les intérêts stratégiques de Moscou », a déclaré la société. « Il semble que l’enregistrement de domaine était l’une des principales compétences [de Korinets], utilisée par les services secrets russes, soit directement, soit par le biais d’une relation contractuelle. » Les noms et les visages de nombreux hackers du Kremlin ne sont plus des secrets bien gardés.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.