vendredi, juillet 3, 2026
33.5 C
Tunisie

Cyberattaques : Gamaredon, le Groupe APT du FSB, Pousse l’Innovation dans l’Espionnage Numérique Contre l’Ukraine

Les dernières recherches d'ESET confirment une intensification majeure des opérations de cyberespionnage du groupe Gamaredon, affilié au FSB, contre les entités gouvernementales ukrainiennes en 2024. L'analyse met en lumière l'introduction de six nouveaux outils malveillants, des techniques de dissimulation avancées via Cloudflare et l'exploitation de services tiers pour une furtivité accrue. Un décryptage essentiel pour le secteur tech.

Le groupe de menaces persistantes avancées (APT) Gamaredon, que le Service de Sécurité Ukrainien (SSU) attribue au 18e Centre de sécurité de l’information du Service fédéral de sécurité russe (FSB), ne cesse d’affiner ses techniques d’attaque. Depuis au moins 2013, Gamaredon a ciblé avec persistance les institutions gouvernementales ukrainiennes, mais l’année 2024 marque un tournant, avec une concentration exclusive sur ces mêmes entités. Le récent rapport d’ESET Research met en lumière une augmentation spectaculaire de l’ampleur et de la fréquence de leurs campagnes de spearphishing, combinée à l’introduction de méthodes de diffusion et d’outils d’une sophistication accrue. L’objectif clair de Gamaredon reste le cyberespionnage, aligné sur les intérêts géopolitiques russes.

L’année dernière, le groupe a non seulement intensifié ses attaques mais a aussi diversifié ses approches. Un cas notable, inédit, fut l’utilisation d’une charge utile dédiée non pas à l’espionnage, mais à la diffusion de propagande russe. Cette dualité d’objectifs – espionnage et guerre informationnelle – représente une évolution significative dans la stratégie du groupe, soulignant une capacité d’adaptation et une volonté d’exploiter la cyber-guerre sur plusieurs fronts.

Innovations techniques : Furtivité, Persistance et Camouflage d’Infrastructure

Les analystes d’ESET ont identifié des avancées majeures dans l’arsenal de Gamaredon. Le groupe a déployé six nouveaux outils malveillants, majoritairement basés sur PowerShell et VBScript. Ces outils sont méticuleusement conçus pour optimiser la furtivité, la persistance sur les systèmes compromis et la réalisation de mouvements latéraux discrets et efficaces au sein des réseaux cibles. Ces développements témoignent d’un effort constant pour échapper aux solutions de détection traditionnelles.

Un aspect particulièrement innovant et préoccupant est la capacité de Gamaredon à masquer la quasi-totalité de son infrastructure de commande et contrôle (C&C) derrière des tunnels Cloudflare. Cette technique leur permet de rendre la traçabilité de leurs serveurs C&C extrêmement difficile, compliquant les efforts de riposte et d’attribution. Pour renforcer cette opacité, Gamaredon a également recours de plus en plus fréquemment à des services tiers légitimes tels que Telegram, Telegraph, Cloudflare et Dropbox pour héberger des éléments de leur infrastructure malveillante. Cette stratégie leur permet de se fondre dans le trafic réseau légitime, augmentant considérablement leur capacité à échapper à la détection.

Comme l’a souligné M. Zoltán Rusnák, chercheur chez ESET : « Gamaredon démontre une capacité d’innovation continue. Leurs campagnes de spearphishing agressives et leurs efforts constants pour échapper aux détections sont la marque d’un acteur majeur. Tant que le conflit se poursuivra, nous nous attendons à ce que Gamaredon continue d’adapter ses tactiques et d’intensifier ses opérations de cyberespionnage contre les institutions ukrainiennes. »

Évolution des Vecteurs d’Attaque et Découverte d’une Charge Utile de Propagande

Les campagnes de spearphishing de Gamaredon ont connu une intensification significative au cours du second semestre 2024, avec des cycles d’attaque s’étendant sur un à cinq jours consécutifs. Les courriels malveillants utilisaient des archives piégées (RAR, ZIP, 7z) ou des fichiers XHTML intégrant des techniques de contenu HTML. Ces fichiers servaient de vecteurs pour des fichiers HTA ou LNK malveillants, qui, une fois exécutés, activaient des téléchargeurs VBScript embarqués comme PteroSand.

Une observation inédite en octobre 2024 fut l’intégration directe d’hyperliens malveillants dans les courriels, rompant avec leur méthode habituelle de pièces jointes. De plus, Gamaredon a introduit une autre technique ingénieuse : l’utilisation de fichiers LNK malveillants pour exécuter des commandes PowerShell directement depuis des domaines générés par Cloudflare, contournant ainsi les filtres de sécurité basés sur les signatures de fichiers.

L’outillage de Gamaredon a fait l’objet de mises à jour majeures, avec un accent sur l’amélioration des outils existants plutôt que sur l’introduction massive de nouveaux. Ces améliorations incluent une obfuscation renforcée, des tactiques de furtivité améliorées et des méthodes plus sophistiquées pour les mouvements latéraux et l’exfiltration de données. Une découverte particulièrement fascinante en juillet 2024 fut une charge utile VBScript unique livrée par les téléchargeurs de Gamaredon. Cette charge utile n’avait aucune fonctionnalité d’espionnage classique ; son seul but était d’ouvrir automatiquement une chaîne de propagande Telegram nommée « Gardiens d’Odessa », diffusant des messages pro-russes ciblant la région d’Odessa. Cette révélation souligne l’approche hybride du groupe, mêlant cyberespionnage technique et opérations d’influence.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires