Contenu
Un nouveau groupe de menaces cybernétiques a émergé, usurpant la société slovaque de cybersécurité ESET dans des tentatives de phishing visant des organisations ukrainiennes. Détectée en mai 2025, cette campagne est suivie par ESET sous le nom de code InedibleOchotense et serait alignée avec les intérêts russes. Les attaquants ont envoyé des e-mails de spear-phishing et des messages Signal contenant des liens vers des installateurs ESET altérés à diverses cibles à travers l'Ukraine. Ces communications, bien que rédigées principalement en ukrainien, incluaient étrangement un mot russe dans la première ligne, suggérant soit une erreur de traduction soit une certaine négligence dans la rédaction du message.\n\nLes e-mails de phishing prétendent faussement que l'équipe de surveillance d'ESET a détecté un processus suspect lié à l'e-mail du destinataire, avertissant que leur système pourrait être compromis. Cette tactique exploite la forte réputation d'ESET et son usage répandu en Ukraine pour tromper les victimes afin qu'elles téléchargent un logiciel malveillant depuis des domaines imitant les services légitimes d'ESET, comme esetsmart[.]com et esetremover[.]com. L'installateur compromis inclut non seulement l'outil authentique ESET AV Remover mais installe aussi une porte dérobée nommée Kalambur (également connue sous le nom SUMBUR). Cette porte dérobée communique via le réseau Tor pour l'anonymat et peut déployer OpenSSH et activer l'accès bureau à distance sur le port 3389, permettant le contrôle à distance des machines infectées.\n\nUne enquête plus approfondie relie cette activité à des campagnes précédemment documentées, comme celles impliquant la porte dérobée BACKORDER et des groupes surveillés par CERT-UA sous les codes UAC-0212 et UAC-0125, qui sont des sous-groupes du collectif de hackers notoire Sandworm (APT44). Sandworm continue de mener des cyberattaques destructrices en Ukraine, telles que le déploiement des malwares destructeurs ZEROLOT et Sting contre une université non nommée en avril 2025. Ces attaques se sont étendues à divers secteurs incluant le gouvernement, l'énergie, la logistique et les industries céréalières. ESET note également que UAC-0099 a facilité l'accès initial pour Sandworm, soulignant la nature stratifiée et collaborative de ces acteurs de menace.\n\nOutre les activités de Sandworm, un autre groupe lié à la Russie appelé RomCom (également connu sous plusieurs alias) a mené des campagnes de spear-phishing à la mi-juillet 2025. RomCom a exploité une vulnérabilité zero-day dans WinRAR (CVE-2025-8088) avec un niveau de gravité élevé, ciblant des entreprises financières, manufacturières, de défense et logistiques en Europe et au Canada. Les exploits réussis ont installé plusieurs portes dérobées et outils d'accès à distance liés à RomCom, tels que SnipBot, RustyClaw et un agent Mythic. Les analystes soulignent que RomCom fonctionnait initialement comme un malware de cybercriminalité commerciale mais a évolué en un outil pour des opérations soutenues par l'État russe, se concentrant sur le vol de données et la collecte d'identifiants liés aux événements géopolitiques entourant le conflit en Ukraine.\n\nLa sophistication croissante et la persistance de ces campagnes soulignent une dimension de guerre cybernétique en cours dans le conflit en Ukraine. Les attaquants exploitent l'usurpation de marque, les vulnérabilités zero-day et les déploiements de malwares multi-étapes pour infiltrer des systèmes critiques. Les stratégies défensives restent difficiles en raison de l'utilisation d'outils légitimes aux côtés de composants malveillants, et de l'exploitation de marques logicielles de confiance comme ESET. Ce paysage de menaces en évolution exige une vigilance accrue, une amélioration des capacités de détection et des réponses coordonnées au sein de la communauté cybersécurité et des secteurs affectés pour atténuer les risques en cours.
