Le groupe de cyberespionnage militaire russe Sandworm cible les utilisateurs de Windows en Ukraine avec des activateurs de chevaux de Troie Microsoft Key Management Service (KMS) et de fausses mises à jour Windows.
Ces attaques ont probablement commencé à la fin de 2023 et ont maintenant été liées par les analystes des menaces d’EclecticIQ à des pirates informatiques basés sur des infrastructures qui se chevauchent, des Tactiques, Techniques et Procédures cohérentes (TTP) et des comptes ProtonMail fréquemment utilisés pour enregistrer les domaines utilisés dans les attaques.
Les attaquants ont également utilisé un chargeur en ATTENTE pour déployer des logiciels malveillants DarkCrystal RAT (DcRAT) (utilisés dans les attaques précédentes de Sandworm) et des symboles de débogage faisant référence à un environnement de construction en russe, renforçant encore la confiance des chercheurs dans l’implication de pirates militaires russes.
EclecticIQ a identifié sept campagnes de distribution de logiciels malveillants liées au même cluster d’activités malveillantes, chacune utilisant des leurres et des TTP similaires. Plus récemment, le 12 janvier 2025, les analystes ont observé les attaques infectant les victimes avec le cheval de Troie d’accès à distance DcRAT dans des attaques d’exfiltration de données utilisant un domaine squatté par faute de frappe.
Une fois déployé sur l’appareil d’une victime, le faux outil d’activation KMS affiche une fausse interface d’activation Windows, installe le chargeur de logiciels malveillants et désactive Windows Defender en arrière-plan avant de fournir la charge utile RAT finale.
L’objectif final des attaques est de collecter des informations sensibles sur des ordinateurs infectés et de les envoyer à des serveurs contrôlés par l’attaquant. Le logiciel malveillant vole les frappes au clavier, les cookies du navigateur, l’historique du navigateur, les informations d’identification enregistrées, les informations d’identification FTP, les informations système et les captures d’écran.
L’utilisation par Sandworm d’activateurs Windows malveillants a probablement été motivée par la vaste surface d’attaque ouverte par l’utilisation intensive de logiciels piratés en Ukraine, qui sévit également dans le secteur gouvernemental du pays.
« De nombreux utilisateurs, y compris des entreprises et des entités critiques, se sont tournés vers des logiciels piratés provenant de sources non fiables, donnant à des adversaires comme Sandworm (APT44) une excellente occasion d’intégrer des logiciels malveillants dans des programmes largement utilisés », a déclaré EclecticIQ.
« Cette tactique permet l’espionnage à grande échelle, le vol de données et la compromission du réseau, menaçant directement la sécurité nationale, les infrastructures critiques et la résilience du secteur privé de l’Ukraine. »
Sandworm (également connu sous les noms d’UAC-0113, APT44 et Seashell Blizzard) est un groupe de piratage actif depuis au moins 2009 et faisant partie de l’Unité militaire 74455 de la Direction principale du Renseignement (GRU), le service de renseignement militaire russe, principalement axé sur la réalisation d’attaques perturbatrices et destructrices ciblant l’Ukraine.