Début 2025, l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky a identifié une nouvelle campagne menée par le groupe APT « Mysterious Elephant ». Ce groupe cible principalement les entités gouvernementales et les organisations chargées des affaires étrangères en Asie-Pacifique, à plus forte raison au Pakistan, au Bangladesh, en Afghanistan, au Népal, et au Sri Lanka. Les attaquants cherchent à voler des informations hautement confidentielles, notamment des documents, des images et des fichiers archivés, en exploitant les données WhatsApp pour les exfiltrer.
La campagne 2025 de Mysterious Elephant marque un changement significatif dans ses TTP : les attaquants utilisent désormais une combinaison d'outils personnalisés et open source pour atteindre leurs objectifs. Pour obtenir un accès initial, l'acteur malveillant déploie une approche mêlant kits d'exploitation, e-mails de spear-phishing personnalisés et documents malveillants, chaque attaque étant adaptée à la cible visée. Une fois à l'intérieur du réseau, l'APT utilise divers outils et techniques pour élever ses privilèges, se déplacer latéralement et exfiltrer des données sensibles.
Les scripts PowerShell constituent la colonne vertébrale des opérations de Mysterious Elephant, permettant au groupe d'exécuter des commandes, de déployer des logiciels malveillants supplémentaires et de maintenir sa persistance sur les systèmes compromis. Ces scripts utilisent des outils légitimes et des utilitaires système pour mener leurs opérations malveillantes à bien.
L'un des outils centraux de l'arsenal du groupe est BabShell, un shell inversé qui permet aux attaquants d'accéder directement aux machines infectées. Une fois exécuté, il recueille des informations système critiques, notamment le nom d'utilisateur, le nom de l'ordinateur et l'adresse MAC, afin d'identifier précisément la cible. BabShell sert également de rampe de lancement pour des modules avancés tels que MemLoader HidenDesk, qui exécute des charges utiles malveillantes. Ce processus utilise le chiffrement et la compression pour échapper aux outils de détection.
Un des points particuliers de cette campagne est la prévalence du vol de données WhatsApp. Les attaquants ont développé des modules spécialement capables d'exfiltrer les fichiers partagés via l'application, notamment les documents sensibles, les photos et les archives.
« L'infrastructure de Mysterious Elephant est conçue pour être furtive et résiliente. Elle s'appuie sur un réseau de domaines et d'adresses IP, utilise des enregistrements DNS génériques ainsi que des services d'hébergement sur VPS et cloud. Les enregistrements DNS génériques permettent au groupe de générer des sous-domaines uniques pour chaque requête, de faire évoluer rapidement ses opérations et de rendre le suivi difficile pour les équipes de sécurité. », commente Noushin Shabab, chercheur principal en sécurité au GReAT de Kaspersky. « Il est essentiel de comprendre les TTP du groupe, de partager les renseignements sur les menaces et de mettre en œuvre des contre-mesures efficaces pour réduire le taux de réussite des attaques, et protéger les informations sensibles afin qu'elles ne tombent pas entre de mauvaises mains. Les organisations doivent également mettre en œuvre des mesures de sécurité robustes, notamment des mises à jour régulières de leurs logiciels, une surveillance constante du réseau et la formation continue des employés.»
Le rapport complet sur la nouvelle campagne du groupe APT Mysterious Elephant est disponible sur Securelist.
