Les chercheurs de Google affirment qu'il existe des preuves selon lesquelles un groupe de piratage informatique notoire lié à la Russie et suivi sous le nom de "ColdRiver" fait évoluer ses tactiques du phishing vers des logiciels malveillants de vol de données ciblant les victimes.

ColdRiver, également connu sous les noms de « CallistoGroup » et « StarBlizzard », est connu pour ses activités d'espionnage à long terme contre les pays de l'OTAN, notamment les États-Unis et le Royaume-Uni.

Les chercheurs pensent que les activités du groupe ciblent souvent des individus et des organisations de haut niveau impliqués dans les affaires internationales et la défense, ce qui indique ses liens étroits avec la Russie. Les procureurs américains ont inculpé en décembre deux Russes liés au groupe.

Dans une nouvelle étude réalisée cette semaine, le groupe d'analyse des menaces (TAG) de Google a déclaré avoir observé ColdRiver intensifier ses activités au cours des derniers mois et utiliser de nouvelles tactiques capables de causer davantage de dégâts à ses victimes, principalement des cibles en Ukraine et ses alliés de l'OTAN, des institutions universitaires et des organisations non gouvernementales.

Ces dernières découvertes surviennent peu de temps après que des chercheurs de Microsoft ont rapporté que le groupe de piratage informatique aligné sur la Russie avait amélioré sa capacité à échapper à la détection.

Les chercheurs de TAG ont partagé l'étude avant sa publication jeudi, dans laquelle ils ont noté que ColdRiver s'était éloigné de sa tactique habituelle de phishing pour obtenir des informations d'identification et qu'il propageait le malware via des campagnes utilisant des documents PDF comme appât.

TAG a déclaré que depuis novembre 2022, ColdRiver a envoyé un certain nombre de documents PDF à des cibles, qui sont déguisés en articles d'opinion ou d'autres types d'articles, et les comptes trompés espèrent solliciter des commentaires sur ces articles.

Lorsqu'une victime ouvre un fichier PDF inoffensif, le texte apparaît crypté. Si la cible répond qu'elle ne peut pas lire le document, les pirates envoient un lien vers un outil de « décryptage », qui, selon les chercheurs de Google, est une porte dérobée personnalisée suivie sous le nom de « SPICA ». Google a déclaré qu'il s'agissait du premier malware personnalisé développé et utilisé par ColdRiver. Cette porte dérobée permet aux attaquants d'accéder en permanence à la machine de la victime, d'exécuter des commandes, de voler les cookies du navigateur et de divulguer des documents.

Billy Leonard, ingénieur en sécurité chez TAG, a déclaré que Google ne connaît pas le nombre de victimes compromises avec succès par SPICA, mais il a déclaré que Google estime que SPICA n'est utilisé que pour "des attaques ciblées très limitées". Leonard a ajouté que le logiciel malveillant est probablement encore en cours de développement et utilisé dans des attaques en cours, et que l'activité de ColdRiver est « restée assez constante au cours des dernières années » malgré les mesures prises par les forces de l'ordre.

Google a déclaré qu'après avoir découvert la campagne de malware ColdRiver, le géant de la technologie avait ajouté tous les sites Web, domaines et fichiers identifiés à son service de navigation sécurisée pour empêcher la campagne de cibler davantage les utilisateurs de Google.

Des chercheurs de Google ont déjà lié le groupe ColdRiver à une opération de piratage et de fuite qui a volé et divulgué un grand nombre d'e-mails et de documents de hauts partisans du Brexit, dont Sir Richard Dearlove, l'ancien chef de l'agence britannique de renseignement extérieur MI6.