Les pirates de Moscou mènent une nouvelle campagne de phishing contre les ministères de plusieurs pays en Europe. La société de cybersécurité Check Point a dévoilé dans un rapport publié le 15 avril une nouvelle vague d’attaque ciblant des institutions diplomatiques, avec une technique déjà vue par le passé : l’invitation à des dégustations de vin. Bien que cette méthode ait déjà été identifiée auparavant, les hackers semblent l’exploiter encore en raison de son efficacité.
Derrière cette opération se cache le groupe APT29, également connu sous les noms de Midnight Blizzard ou Cozy Bear, un acteur de cyberespionnage étatique lié à la Russie. Ce collectif est surtout connu pour ses missions d’espionnage contre l’Occident, ciblant régulièrement des institutions étatiques ou des multinationales, comme Microsoft.
Des ministères européens usurpés par les hackers russes
Dans cette nouvelle vague de hameçonnage, les pirates usurpent l’identité du ministère des Affaires étrangères d’un pays européen pour tromper leurs victimes et les inciter à ouvrir des fichiers malveillants.
Les e-mails se présentent sous des objets apparemment innocents, tels que « Rencontre autour du vin », « Dégustation de Vins » ou « Dîner diplomatique ». Ces messages sont envoyés à partir d’adresses e-mails falsifiées, imitant avec soin le style et les symboles des pays usurpés. Pour renforcer l’illusion de légitimité, les hackers n’hésitent pas à intégrer des liens vers de faux sites web clonant ceux des ministères européens.
Dès qu’un destinataire clique sur l’invitation, il est redirigé vers une archive zip (nommée wine.zip) contenant un exécutable PowerPoint. En ouvrant ce fichier, le malware Grapeloader s’installe silencieusement, marquant le début d’une intrusion plus vaste.
Grapeloader n’est pas un logiciel malveillant ordinaire. L’exécutable wine.exe parvient à échapper à la détection de nombreux systèmes de sécurité, et va même jusqu’à modifier la base de registre de Windows, assurant ainsi sa persistance à chaque redémarrage de la machine infectée.
Une fois activé, Grapeloader commence à collecter des informations sensibles sur la victime (nom d’utilisateur, nom de l’hôte, etc.) et les envoie aux serveurs de commande et de contrôle (C2) des pirates qui pourront ensuite espionner l’écran en temps réel.
Les cibles privilégiées de cette campagne sont principalement des institutions diplomatiques européennes, avec une attention particulière portée aux ambassades et aux ministères des Affaires étrangères.
D’autres types de narratifs ont également été observés, tels que des fausses annonces de vente de voitures ou de prétendues alertes, illustrant ainsi la continuité des opérations d’espionnage menées par la Russie contre l’Europe depuis trois ans.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
