DeathStalker est un acteur APT “hack-for-hire” notoire que Kaspersky scrute depuis 2018. Il cible principalement des cabinets d'avocats et des organisations du secteur financier, et se distingue par son absence apparente de motifs politiques et financiers. Les chercheurs de Kaspersky pensent que DeathStalker agit comme une organisation mercenaire, offrant des services spécialisés en piratage et en renseignement financier.
En 2020, les experts de Kaspersky ont publié un aperçu du profil et des activités malveillantes de DeathStalker, notamment ses campagnes Janicab, Evilnum, PowerSing et PowerPepper. Mi-2020, ils ont découvert une nouvelle infection très évasive, intégrée sur l'implant Python "VileRat". En 2022, en surveillant méticuleusement l'activité du groupe sur la durée, Kaspersky a conclu que leurs offensives visaient activement les sociétés de commerce de devises étrangères (FOREX) et de crypto-monnaies.
VileRat est généralement déployé à la suite d’une chaîne d'infection complexe, initiée par des mails d'hameçonnage. Cet été, les cybercriminels ont également utilisé des chatbots intégrés aux sites Web publics des entreprises ciblées pour diffuser des documents malveillants. Les documents DOCX sont souvent nommés à l'aide des mots-clés "conformité" ou "plainte" (ainsi que le nom de l'entreprise ciblée), suggérant que l'attaquant répond à une demande d'identification ou signale un problème, afin de masquer l’offensive.
La campagne VileRat se distingue par la sophistication de ses outils et l’importance de son infrastructure malveillante (en comparaison aux activités de DeathStalker documentées précédemment), par les nombreuses techniques de brouillage utilisées tout au long de l'infection, ainsi que par son activité continue et persistante depuis 2020. La campagne VileRat démontre que DeathStalker déploie des efforts considérables pour développer ses activités et garantir l’accès à ses cibles. Quant aux objectifs de ces attaques, il pourrait s’agir aussi bien de diligence raisonnable que de recouvrement d’actifs, d’une action de soutien dans certains cas de litige et d’arbitrage ou encore de contournement de sanction, mais il semblerait que la recherche de gains financiers directs ne soit jamais le but recherché.
VileRat ne semble pas chercher à cibler de pays en particulier, Kaspersky signale au contraire que le groupe semble ordonner ses attaques avancées dans le monde entier sans discrimination, utilisant VileRat contre des organisations compromises en Bulgarie, à Chypre, en Allemagne, aux Grenadines, au Koweït, à Malte, aux Émirats arabes unis et en Russie. Il convient de noter que les organisations ciblées peuvent aussi bien être de jeunes start-ups que des leaders très établis dans leur secteur.
“DeathStalker a toujours cherché à échapper à la surveillance, et ce depuis le début de notre traque. La campagne VileRat représente cependant une accélération inédite à cet égard : il s'agit sans aucun doute de la campagne la plus complexe, la plus obscure et la plus évasive que nous ayons jamais identifiée de la part de cet acteur. Nous pensons que les tactiques et pratiques de DeathStalker sont suffisantes (et ont déjà fait leurs preuves) pour opérer sur des cibles fragiles, qui ne sont peut-être pas assez expérimentées pour résister à un tel niveau de volonté, qui n'ont peut-être pas fait de la sécurité l'une de leur principale priorité, ou bien qui interagissent fréquemment avec des intermédiaires ne l’ayant pas fait non plus", commente Pierre Delcher, chercheur en sécurité senior au GReAT de Kaspersky.
Pour en savoir plus sur VileRat et ses techniques d'évasion, consultez Securelist.
Pour protéger vos organisations contre des menaces comme VileRat, Kaspersky vous donne les conseils suivants :