Pour la première fois, une organisation diplomatique de l’UE a été ciblée par un groupe lié à la Chine - Nouveau rapport APT d’ESET
Publié le 07/11/2024 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
BRATISLAVA, le 7 novembre 2024 — ESET Research publie son nouveau rapport APT, qui met en évidence les activités de certains groupes de menaces persistantes avancées (APT), documentées par ses chercheurs d’avril à fin septembre 2024. ESET a observé une forte expansion du ciblage par MirrorFace, lié à la Chine. Tout en donnant la priorité à ses cibles japonaises, il a étendu, pour la première fois, ses opérations à une organisation diplomatique de l’UE. De plus, les groupes APT liés à la Chine utilisent toujours plus SoftEther, le VPN open source et multiplateforme, pour conserver l’accès aux réseaux des victimes. Les chercheurs ont aussi découvert des indications selon lesquelles des groupes liés à l’Iran exploiteraient leurs cyber-capacités pour de l’espionnage diplomatique et, potentiellement, des opérations cinétiques.
« A propos des groupes de menaces liés à la Chine, nous avons remarqué l’utilisation intensive de VPN SoftEther par Flax Typhoon, vu Webworm passer de sa porte dérobée à l'utilisation du pont VPN SoftEther sur des machines d’organisations de l'UE, et détecté que GALLIUM déployait des serveurs VPN SoftEther chez des opérateurs télécom en Afrique », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET. « C’est la première fois que nous avons vu MirrorFace ciblant une organisation diplomatique de l'UE, une région qui reste centrale pour plusieurs acteurs de la menace liés à la Chine, à la Corée du Nord et à la Russie. Beaucoup de ces groupes ciblent particulièrement les entités gouvernementales et le secteur de la défense », conclut-il.
Les groupes liés à l’Iran ont compromis plusieurs sociétés de services financiers en Afrique, un continent géopolitiquement important pour ce pays. Ils ont mené des opérations de cyber-espionnage contre l’Irak et l’Azerbaïdjan, pays avec lesquels l’Iran entretient des relations complexes, et accru leur intérêt pour le secteur des transports en Israël. Malgré ce ciblage géographique plutôt restreint, les groupes pro-iraniens ont conservé une orientation mondiale, poursuivant aussi des envoyés diplomatiques en France et des organisations éducatives aux US.
Des groupes de pirates pro-coréens ont continué leur traque de fonds volés, tant en devises traditionnelles qu’en crypto-monnaies. Les chercheurs ont vu que ces groupes poursuivaient leurs attaques contre des entreprises de défense et d’aérospatiale en Europe et aux États-Unis, des développeurs de crypto-monnaies, des groupes de réflexion et des ONG. Kimsuky, un de ces groupes, a commencé à exploiter les fichiers de la console de gestion Microsoft, généralement utilisés par les administrateurs système mais exécutant n’importe quelle commande Windows. En outre, plusieurs groupes pro-coréens ont régulièrement fait un usage abusif de services cloud populaires.
ESET Research a détecté des groupes de cyber-espionnage pro-russes ciblant des serveurs de messagerie Web, tels que Roundcube et Zimbra, avec des e-mails de spearphishing déclenchant des vulnérabilités XSS connues. Outre Sednit ciblant des entités gouvernementales, universitaires et liées à la défense au niveau mondial, ESET a identifié GreenCube, autre groupe pro-russe, qui volait des messages électroniques par des vulnérabilités XSS dans Roundcube. D’autres groupes pro-russes continuent à se concentrer sur l’Ukraine : Gamaredon déploie de grandes campagnes de spearphishing et optimise ses outils en utilisant et en abusant des applis de messagerie Telegram et Signal. Sandworm a utilisé WrongSens, sa nouvelle porte dérobée Windows. ESET a aussi analysé le piratage public et la fuite de données de l’Agence Polonaise d’Antidopage, probablement compromises par un courtier d’accès initial (IAB) qui a partagé l’accès avec APT FrostyNeighbor, groupe pro-russe, à l’origine de campagnes de désinformation cybernétiques critiques envers l’OTAN.
En Asie, ESET a observé que les campagnes ciblant toujours les organisations gouvernementales. Les recherches ont également révélé l’intérêt porté au secteur de l’éducation, ciblant les chercheurs et les universitaires de la péninsule coréenne et d’Asie du Sud-Est. Ce changement était motivé par des acteurs malveillants alignés sur la Chine et de la Corée du Nord. Lazarus, un groupe lié à la Corée du Nord, a attaqué des entités mondiales du secteur de la finance et de la technologie. Au Moyen-Orient, plusieurs groupes APT liés à l’Iran ont continué d’attaquer des organisations gouvernementales, Israël étant le pays le plus touché.
Au cours des deux dernières décennies, l’Afrique est devenue un partenaire géopolitique important pour la Chine et des groupes alignés sur ce pays étendent leurs activités sur le continent. En Ukraine, les groupes liés à la Russie étaient encore plus actifs, avec de fortes répercussions sur les entités gouvernementales, le secteur de la défense et les services essentiels tels que l’approvisionnement en énergie, en eau et en chauffage.
Les opérations mises en évidence sont représentatives du paysage plus large des menaces analysées par ESET durant cette période. Les produits ESET protègent les systèmes de ses clients contre les activités malveillantes reprises dans ce rapport. Les renseignements partagés ici sont principalement basés sur des données de la télémétrie exclusive d'ESET. Ces analyses, connues sous le nom d'ESET APT Reports PREMIUM, aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques criminelles et dirigées par des États-nations. Plus d’informations sur ESET APT Reports PREMIUM et sa diffusion de renseignements de haute qualité, stratégiques, exploitables et tactiques sur les menaces de cyber-sécurité sont disponibles sur la page ESET Threat Intelligence.
On peut lire le rapport complet ESET APT Activity Report sur www.welivesecurity.com. Suivez aussi ESET Research sur X, pour les dernières nouvelles d'ESET Research.
ESET® fournit une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET garde une longueur d'avance sur les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud-first, basés IA, sont très efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteurs. Grâce à une défense en temps réel 24/24 et 7/7 et à un support local solide, la sécurité des utilisateurs et le fonctionnement sans interruption des entreprises sont assurés. Pour plus d'informations, visitez www.eset.com ou suivez-nous ESET sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
« A propos des groupes de menaces liés à la Chine, nous avons remarqué l’utilisation intensive de VPN SoftEther par Flax Typhoon, vu Webworm passer de sa porte dérobée à l'utilisation du pont VPN SoftEther sur des machines d’organisations de l'UE, et détecté que GALLIUM déployait des serveurs VPN SoftEther chez des opérateurs télécom en Afrique », explique Jean-Ian Boutin, directeur de la recherche sur les menaces chez ESET. « C’est la première fois que nous avons vu MirrorFace ciblant une organisation diplomatique de l'UE, une région qui reste centrale pour plusieurs acteurs de la menace liés à la Chine, à la Corée du Nord et à la Russie. Beaucoup de ces groupes ciblent particulièrement les entités gouvernementales et le secteur de la défense », conclut-il.
Les groupes liés à l’Iran ont compromis plusieurs sociétés de services financiers en Afrique, un continent géopolitiquement important pour ce pays. Ils ont mené des opérations de cyber-espionnage contre l’Irak et l’Azerbaïdjan, pays avec lesquels l’Iran entretient des relations complexes, et accru leur intérêt pour le secteur des transports en Israël. Malgré ce ciblage géographique plutôt restreint, les groupes pro-iraniens ont conservé une orientation mondiale, poursuivant aussi des envoyés diplomatiques en France et des organisations éducatives aux US.
Des groupes de pirates pro-coréens ont continué leur traque de fonds volés, tant en devises traditionnelles qu’en crypto-monnaies. Les chercheurs ont vu que ces groupes poursuivaient leurs attaques contre des entreprises de défense et d’aérospatiale en Europe et aux États-Unis, des développeurs de crypto-monnaies, des groupes de réflexion et des ONG. Kimsuky, un de ces groupes, a commencé à exploiter les fichiers de la console de gestion Microsoft, généralement utilisés par les administrateurs système mais exécutant n’importe quelle commande Windows. En outre, plusieurs groupes pro-coréens ont régulièrement fait un usage abusif de services cloud populaires.
ESET Research a détecté des groupes de cyber-espionnage pro-russes ciblant des serveurs de messagerie Web, tels que Roundcube et Zimbra, avec des e-mails de spearphishing déclenchant des vulnérabilités XSS connues. Outre Sednit ciblant des entités gouvernementales, universitaires et liées à la défense au niveau mondial, ESET a identifié GreenCube, autre groupe pro-russe, qui volait des messages électroniques par des vulnérabilités XSS dans Roundcube. D’autres groupes pro-russes continuent à se concentrer sur l’Ukraine : Gamaredon déploie de grandes campagnes de spearphishing et optimise ses outils en utilisant et en abusant des applis de messagerie Telegram et Signal. Sandworm a utilisé WrongSens, sa nouvelle porte dérobée Windows. ESET a aussi analysé le piratage public et la fuite de données de l’Agence Polonaise d’Antidopage, probablement compromises par un courtier d’accès initial (IAB) qui a partagé l’accès avec APT FrostyNeighbor, groupe pro-russe, à l’origine de campagnes de désinformation cybernétiques critiques envers l’OTAN.
En Asie, ESET a observé que les campagnes ciblant toujours les organisations gouvernementales. Les recherches ont également révélé l’intérêt porté au secteur de l’éducation, ciblant les chercheurs et les universitaires de la péninsule coréenne et d’Asie du Sud-Est. Ce changement était motivé par des acteurs malveillants alignés sur la Chine et de la Corée du Nord. Lazarus, un groupe lié à la Corée du Nord, a attaqué des entités mondiales du secteur de la finance et de la technologie. Au Moyen-Orient, plusieurs groupes APT liés à l’Iran ont continué d’attaquer des organisations gouvernementales, Israël étant le pays le plus touché.
Au cours des deux dernières décennies, l’Afrique est devenue un partenaire géopolitique important pour la Chine et des groupes alignés sur ce pays étendent leurs activités sur le continent. En Ukraine, les groupes liés à la Russie étaient encore plus actifs, avec de fortes répercussions sur les entités gouvernementales, le secteur de la défense et les services essentiels tels que l’approvisionnement en énergie, en eau et en chauffage.
Les opérations mises en évidence sont représentatives du paysage plus large des menaces analysées par ESET durant cette période. Les produits ESET protègent les systèmes de ses clients contre les activités malveillantes reprises dans ce rapport. Les renseignements partagés ici sont principalement basés sur des données de la télémétrie exclusive d'ESET. Ces analyses, connues sous le nom d'ESET APT Reports PREMIUM, aident les organisations chargées de protéger les citoyens, les infrastructures nationales critiques et les actifs de grande valeur contre les cyberattaques criminelles et dirigées par des États-nations. Plus d’informations sur ESET APT Reports PREMIUM et sa diffusion de renseignements de haute qualité, stratégiques, exploitables et tactiques sur les menaces de cyber-sécurité sont disponibles sur la page ESET Threat Intelligence.
On peut lire le rapport complet ESET APT Activity Report sur www.welivesecurity.com. Suivez aussi ESET Research sur X, pour les dernières nouvelles d'ESET Research.
ESET® fournit une sécurité numérique de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET garde une longueur d'avance sur les cyber-menaces connues et émergentes, sécurisant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud-first, basés IA, sont très efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteurs. Grâce à une défense en temps réel 24/24 et 7/7 et à un support local solide, la sécurité des utilisateurs et le fonctionnement sans interruption des entreprises sont assurés. Pour plus d'informations, visitez www.eset.com ou suivez-nous ESET sur LinkedIn, Facebook, X et https://www.eset.com/be-fr/.