ESET Research révèle les activités du groupe Gamaredon, un acteur majeur du cyberespionnage affilié à la Russie. Ce groupe cible principalement les institutions ukrainiennes, mais a également tenté des attaques dans plusieurs pays de l’OTAN.
Gamaredon, un acteur russe actif en Ukraine
Le groupe APT Gamaredon, également connu sous le nom de Centre 18 du FSB, mène des opérations de cyberespionnage depuis 2013. Ce groupe est particulièrement actif en Ukraine. Il vise principalement les institutions gouvernementales. ESET Research a mis en lumière ses méthodes d’attaque et les techniques d’obfuscation avancées utilisées pour contourner les systèmes de sécurité. En plus de cibler l’Ukraine, Gamaredon a mené des attaques contre des pays de l’OTAN, dont la Bulgarie, la Pologne et les pays baltes. Cependant, aucune compromission réussie n’a été observée lors de ces tentatives.
En avril 2022 et février 2023, ESET a identifié plusieurs tentatives d’intrusion. « Le groupe déploie régulièrement de nouveaux outils et techniques pour tromper les défenses automatisées, » explique Zoltán Rusnák, chercheur chez ESET.
L’évolution des capacités d’espionnage de Gamaredon
Depuis le début de l’année 2023, Gamaredon a renforcé ses capacités d’espionnage par le biais de plusieurs nouveaux outils en PowerShell. Ces outils visent à exfiltrer des données sensibles à partir de messageries comme Signal, Telegram, et des applications web. ESET a également découvert un malware appelé PteroBleed, qui cible directement les systèmes militaires ukrainiens. Cet infostealer est conçu pour voler des informations stratégiques liées à un système de messagerie web gouvernemental.
Gamaredon adopte une approche agressive avec des campagnes de spear-phishing pour compromettre les cibles. Ensuite, il déploie des malwares personnalisés pour infecter des documents Word et des clés USB. Ces infections visent à propager le malware à d’autres cibles potentielles. Cela augmente les chances de succès.
Une menace persistante malgré des outils simples
Malgré la simplicité de son arsenal, Gamaredon compense par des mises à jour régulières et des techniques d’obfuscation toujours plus sophistiquées. « Contrairement à d’autres groupes APT qui privilégient la discrétion, Gamaredon ne semble pas se soucier d’être détecté, » explique Rusnák. Le groupe utilise des téléchargeurs et des backdoors simultanément pour maintenir un accès persistant aux systèmes compromis.
ESET Research met en garde contre l’agressivité et la persévérance de Gamaredon, qui représente une menace sérieuse pour l’Ukraine et ses alliés. Les chercheurs anticipent que le groupe continuera à concentrer ses efforts sur l’Ukraine, en raison de la situation géopolitique actuelle. Gamaredon incarne une nouvelle forme de cybermenace : peu sophistiquée mais tenace. Elle pourrait encore évoluer et renforcer sa présence dans les conflits numériques mondiaux.
Article basé sur un communiqué de presse reçu par la rédaction.
