Depuis le début de l’année, le groupe de piratage Colddriver soutenu par l’État russe utilise de nouveaux logiciels malveillants LostKeys pour voler des fichiers dans le cadre d’attaques d’espionnage ciblant des gouvernements occidentaux, des journalistes, des groupes de réflexion et des organisations non gouvernementales.
En décembre, le Royaume-Uni et ses alliés de Five Eyes ont lié ColdRiver au Service fédéral de sécurité (FSB) de Russie, le service de contre-espionnage et de sécurité intérieure du pays.
Google Threat Intelligence Group (GTIG) a observé pour la première fois que des clés perdues étaient « déployées dans des cas très sélectifs » en janvier dans le cadre d’attaques d’ingénierie sociale ClickFix, où les acteurs de la menace incitent les cibles à exécuter des scripts PowerShell malveillants.
L’exécution de ces scripts télécharge et exécute des charges utiles PowerShell supplémentaires sur les appareils des victimes, se terminant par un malware de vol de données Visual Basic Script (VBS) suivi par Google sous le nom de LostKeys.
« LOSTKEYS est capable de voler des fichiers dans une liste codée en dur d’extensions et de répertoires, ainsi que d’envoyer des informations système et d’exécuter des processus à l’attaquant », a déclaré GTIG.
« Le comportement typique de COLDRIVER est de voler des informations d’identification, puis de les utiliser pour voler des courriels et des contacts de la cible, mais comme nous l’avons déjà documenté, ils déploieront également un logiciel malveillant appelé SPICA pour sélectionner des cibles s’ils souhaitent accéder aux documents sur le système cible. LOSTKEYS est conçu pour atteindre un objectif similaire et n’est déployé que dans des cas très sélectifs.’
ColdRiver n’est pas le seul groupe de menaces soutenu par l’État à pirater les appareils de leurs cibles lors d’attaques ClickFix, Kimsuky (Corée du Nord), MuddyWater (Iran), APT28 et UNK_RemoteRogue (Russie) ayant tous utilisé ces mêmes tactiques dans campagnes d’espionnage ces derniers mois.
Également connu sous le nom de Star Blizzard, Callisto Group et Seaborgium, le groupe de piratage Colddriver a utilisé des compétences en ingénierie sociale et en intelligence open source (OSINT) pour rechercher et attirer des cibles depuis au moins 2017.
Les cyber-agences Five Eyes ont également mis en garde en décembre 2023 contre les attaques de harponnage de Colddriver contre la défense, les organisations gouvernementales, les ONG et les politiciens, des mois après l’invasion de l’Ukraine par la Russie, et ces attaques se sont également étendues aux cibles industrielles de la défense et aux installations du département américain de l’énergie.
En 2022, le Microsoft Threat Intelligence Center (MSTIC) a perturbé une autre opération d’ingénierie sociale Colddriver au cours de laquelle les attaquants ont utilisé des comptes Microsoft pour collecter des e-mails et surveiller l’activité d’organisations et de personnalités de premier plan dans les pays de l’OTAN.
Le Département d’État américain a sanctionné deux opérateurs de Colddriver (dont un officier du FSB) en décembre 2023, qui ont également été inculpés par le département de la Justice des États-Unis pour leur implication dans une campagne mondiale de piratage informatique coordonnée par le gouvernement russe.
Le département d’État offre maintenant jusqu’à 10 millions de dollars de récompenses pour des pourboires qui pourraient aider les forces de l’ordre à localiser ou à identifier d’autres membres de Colddriver.