Ignorer le contenu principal

DeathStalker est un acteur APT “hack-for-hire” notoire que Kaspersky scrute depuis 2018. Il cible principalement des cabinets d'avocats et des organisations du secteur financier, et se distingue par son absence apparente de motifs politiques et financiers. Les chercheurs de Kaspersky pensent que DeathStalker agit comme une organisation mercenaire, offrant des services spécialisés en piratage et en renseignement financier.

En 2020, les experts de Kaspersky ont publié un aperçu du profil et des activités malveillantes de DeathStalker, notamment ses campagnes Janicab, Evilnum, PowerSing et PowerPepper. Mi-2020, ils ont découvert une nouvelle infection très évasive, intégrée sur l'implant Python "VileRat". En 2022, en surveillant méticuleusement l'activité du groupe sur la durée, Kaspersky a conclu que leurs offensives visaient activement les sociétés de commerce de devises étrangères (FOREX) et de crypto-monnaies.

VileRat est généralement déployé à la suite d’une chaîne d'infection complexe, initiée par des mails d'hameçonnage. Cet été, les cybercriminels ont également utilisé des chatbots intégrés aux sites Web publics des entreprises ciblées pour diffuser des documents malveillants. Les documents DOCX sont souvent nommés à l'aide des mots-clés "conformité" ou "plainte" (ainsi que le nom de l'entreprise ciblée), suggérant que l'attaquant répond à une demande d'identification ou signale un problème, afin de masquer l’offensive.

La campagne VileRat se distingue par la sophistication de ses outils et l’importance de son infrastructure malveillante (en comparaison aux activités de DeathStalker documentées  précédemment), par les nombreuses techniques de brouillage utilisées tout au long de l'infection, ainsi que par son activité continue et persistante depuis 2020. La campagne VileRat démontre que DeathStalker déploie des efforts considérables pour développer ses activités et garantir l’accès à ses cibles. Quant aux objectifs de ces attaques, il pourrait s’agir aussi bien de diligence raisonnable que de recouvrement d’actifs, d’une action de soutien dans certains cas de litige et d’arbitrage ou encore de contournement de sanction, mais il semblerait que la recherche de gains financiers directs ne soit jamais le but recherché.



VileRat ne semble pas chercher à cibler de pays en particulier, Kaspersky signale au contraire que le groupe semble ordonner ses attaques avancées dans le monde entier sans discrimination, utilisant VileRat contre des organisations compromises en Bulgarie, à Chypre, en Allemagne, aux Grenadines, au Koweït, à Malte, aux Émirats arabes unis et en Russie. Il convient de noter que les organisations ciblées peuvent aussi bien être de jeunes start-ups que des leaders très établis dans leur secteur.

DeathStalker a toujours cherché à échapper à la surveillance, et ce depuis le début de notre traque. La campagne VileRat représente cependant une accélération inédite à cet égard : il s'agit sans aucun doute de la campagne la plus complexe, la plus obscure et la plus évasive que nous ayons jamais identifiée de la part de cet acteur. Nous pensons que les tactiques et pratiques de DeathStalker sont suffisantes (et ont déjà fait leurs preuves) pour opérer sur des cibles fragiles, qui ne sont peut-être pas assez expérimentées pour résister à un tel niveau de volonté, qui n'ont peut-être pas fait de la sécurité l'une de leur principale priorité, ou bien qui interagissent fréquemment avec des intermédiaires ne l’ayant pas fait non plus", commente Pierre Delcher, chercheur en sécurité senior au GReAT de Kaspersky.

Pour en savoir plus sur VileRat et ses techniques d'évasion, consultez Securelist.

Pour protéger vos organisations contre des menaces comme VileRat, Kaspersky vous donne les conseils suivants :

  • Donnez à votre équipe SOC un accès aux dernières informations sur la Threat Intelligence (TI). Le portail Kaspersky Threat Intelligence est un point d'accès unique à la TI, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. Pour aider les entreprises à se défendre en cette période de crise, Kaspersky a décidé de donner un accès gratuit à des informations indépendantes, actualisées et provenant de sources internationales sur les cyberattaques et les menaces en cours. Demandez votre accès ici.
  • Renforcez les compétences de votre équipe de cybersécurité pour lui permettre de faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts du GReAT.  
  • Mettez en place des solutions EDR pour la détection des problèmes au niveau des terminaux, l'investigation et la neutralisation rapide des menaces, telles que Kaspersky Endpoint Detection and Response.
  • En plus des solutions EDR, mettez en œuvre une solution pour la sécurité en entreprise, qui détecte les menaces avancées au niveau du réseau à un stade précoce, comme Kaspersky Anti Targeted Attack Platform.


Les mercenaires de DeathStalker attaquent les sociétés de crypto-monnaies et de change avec VileRat

Les experts de Kaspersky surveillent les campagnes du groupe de hack-for-hire DeathStalker depuis 2018. Ils ont récemment analysé que le groupe malveillant a mis à jour sa boîte à outils "VileRat", dont il se sert pour attaquer des sociétés de crypto-monnaie et de change en Bulgarie, à Chypre, en Allemagne, aux Grenadines, au Koweït, à Malte, aux Émirats arabes unis et en Russie au cours de l’année 2022
Kaspersky Logo