Une porte dérobée personnalisée récemment apparue, appelée Stealth Soldier, a été déployée dans le cadre d’une série d’attaques d’espionnage très ciblées en Afrique du Nord.

Selon un rapport technique de la société de cybersécurité Check Point, le logiciel malveillant Stealth Soldier est une porte dérobée non documentée conçue principalement pour la surveillance. Ses fonctionnalités comprennent l’exfiltration de fichiers, l’enregistrement des écrans et des entrées microphoniques, l’enregistrement des frappes clavier et le vol d’informations sur le navigateur.

L’opération en cours utilise des serveurs de commande et de contrôle qui imitent les sites web associés au ministère libyen des affaires étrangères. Les premières traces de cette campagne remontent à octobre 2022.

Les attaques commencent par le téléchargement, par les cibles potentielles, de faux binaires de téléchargement, fournis par des attaques d’ingénierie sociale, et qui servent de canal pour obtenir la porte dérobée Stealth Soldier. En même temps, un fichier PDF vide est affiché pour tromper les victimes.

Lire aussi : “Cisco et VMware publient des mises à jour de sécurité critiques”.

L’implant modulaire personnalisé, dont on pense qu’il est utilisé avec parcimonie, permet des capacités de surveillance en collectant des listes de répertoires et des informations d’identification de navigateur, en enregistrant les frappes au clavier et le son du microphone, en réalisant des captures d’écran, en téléchargeant des fichiers et en exécutant des commandes PowerShell. Check Point a déclaré : “Le logiciel malveillant utilise différents types de commandes, dont certaines sont des plugins téléchargés à partir du serveur C&C, tandis que d’autres sont des modules du logiciel malveillant lui-même”. L’existence de trois versions du soldat furtif indique que les opérateurs le maintiennent activement.

Bien que certains composants ne soient plus accessibles, il semblerait que les plugins de capture d’écran et de vol de données d’identification aient été influencés par des projets open-source disponibles sur GitHub. En outre, l’infrastructure utilisée par Stealth Soldier recoupe l’infrastructure liée à une précédente campagne de phishing appelée Eye on the Nile, qui a ciblé des journalistes égyptiens et des militants des droits de l’homme en 2019.

Cette évolution indique la réapparition potentielle de l’acteur de la menace après la campagne susmentionnée, suggérant que le groupe se concentre sur des activités de surveillance ciblant des entités égyptiennes et libyennes.

Compte tenu de la nature modulaire du logiciel malveillant et de l’utilisation de plusieurs étapes d’infection, les attaquants continueront à faire évoluer leurs tactiques et techniques, en déployant de nouvelles versions du logiciel malveillant dans un avenir proche, comme l’indique Check Point.