Depuis décembre 2020, un collectif de cyberattaquants connu sous le nom de Red Stinger est à l’origine de plusieurs attaques sophistiquées et permanentes contre des cibles militaires, maritimes et d’infrastructure vitale en Europe de l’Est. Malwarebytes, une société de cybersécurité, a révélé que Red Stinger a ciblé des entités impliquées dans les référendums de septembre en Ukraine orientale et a réussi à voler des données sensibles telles que des instantanés, des clés USB, des frappes de clavier et des enregistrements de microphones, selon la campagne.

À lire également : Logiciel malveillant Atomic macOS : Voler vos mots de passe et vos portefeuilles de crypto-monnaie

Le groupe APT, qui recoupe un autre groupe de menaces connu sous le nom de Bad Magic, a ciblé des organisations gouvernementales, agricoles et de transport à Donetsk, Lougansk et en Crimée depuis 2020. La première opération a eu lieu en décembre 2020, et des éléments de preuve suggèrent que le groupe pourrait être actif depuis au moins septembre 2021. La dernière action enregistrée de l’organisation a eu lieu en septembre 2022, qui a également marqué le début de l’invasion armée de l’Ukraine par la Russie.

Sur les machines piratées, la chaîne d’assaut dépose l’implant DBoxShell (PowerMagic) à l’aide de fichiers d’installation frauduleux. Dans un paquet ZIP, un raccourci Windows est utilisé pour télécharger le fichier MSI. Le groupe a également utilisé des implants alternatifs comme GraphShell, qui utilise l’API Microsoft Graph à des fins de commande et de contrôle (C&C).

Le gang a utilisé des outils tels que ngrok, rsockstun et un fichier binaire pour voler les informations des victimes vers un compte Dropbox sous le contrôle d’un acteur. Bien que l’ampleur exacte des infections ne soit pas connue, des éléments indiquent que deux victimes, un militaire et un fonctionnaire travaillant dans des installations importantes, ont été piratées en février 2022 dans le centre de l’Ukraine. Après une période d’observation, les agents potentiels ont, dans les deux cas, volé des captures d’écran, des enregistrements de microphones et des fichiers de bureau.

Les motivations de ces attaques restent inconnues, bien que les attaquants aient infecté leurs machines Windows 10 en décembre 2022, probablement à des fins de test. Le choix de l’échelle thermométrique Fahrenheit et de l’anglais comme langue principale montre que les membres du groupe étaient de langue maternelle anglaise.

Les experts affirment qu’il est difficile d’attribuer l’attaque à une nation en particulier, car certaines victimes soutenaient la Russie, tandis que d’autres soutenaient l’Ukraine. Les principaux objectifs de l’agression étaient la surveillance et la collecte de données, et les auteurs protégeaient leurs victimes à l’aide de divers moyens de défense et d’instruments puissants. L’attaque visait des entités spécifiques.