Le groupe d’espionnage parrainé par l’État russe Midnight Blizzard est à l’origine d’une nouvelle campagne de harponnage ciblant les entités diplomatiques en Europe, y compris les ambassades.
Midnight Blizzard, alias « Cozy Bear » ou « APT29 », est un groupe de cyberespionnage parrainé par l’État et lié au Service de renseignement extérieur russe (SVR).
Selon Check Point Research, la nouvelle campagne introduit un chargeur de logiciels malveillants inédit appelé « GrapeLoader » et une nouvelle variante de la porte dérobée « WineLoader ».
Une vague de malware
La campagne de phishing a débuté en janvier 2025 et commence par un e-mail usurpant un ministère des Affaires étrangères, envoyé depuis ‘ bakenhof[.] avec ‘ ou ‘ silry[.] com, » invitant le destinataire à une dégustation de vin.
L’e-mail contient un lien malveillant qui, si les conditions de ciblage de la victime sont remplies, déclenche le téléchargement d’une archive ZIP (wine.code postal). Sinon, il redirige les victimes vers le site Web légitime du ministère.
L’archive contient un exécutable PowerPoint légitime (wine.exe), un fichier DLL légitime requis pour l’exécution du programme et la charge utile malveillante GrapeLoader (ppcore.dll).
Le chargeur de logiciels malveillants est exécuté via le chargement latéral de DLL, qui collecte les informations sur l’hôte, établit la persistance via la modification du registre Windows et contacte le système de commande et de contrôle (C2) pour recevoir le shellcode qu’il charge en mémoire.
GrapeLoader remplace probablement le chargeur HTA de premier étage précédemment utilisé « Root Saw », étant plus furtif et plus sophistiqué.
CheckPoint souligne son utilisation des protections de mémoire’ PAGE_NO ACCESS ‘ et un délai de 10 secondes avant d’exécuter le shellcode via ‘ResumeThread’ pour masquer l’exécution malveillante de la charge utile des antivirus et des scanners EDR.
Les tâches principales de GrapeLoader dans cette campagne sont la reconnaissance furtive et la livraison de Wine Loader, qui arrive sous la forme d’un fichier DLL VMware Tools trojan.
Une porte dérobée corsée
Wine Loader est une porte dérobée modulaire qui rassemble des informations détaillées sur l’hôte et facilite les opérations d’espionnage.
Les données collectées incluent: les adresses IP, le nom du processus sur lequel il s’exécute, le nom d’utilisateur Windows, le nom de la machine Windows, l’ID de processus et le niveau de privilège.
Ces informations peuvent aider à identifier les environnements de bac à sable et à évaluer la cible pour la suppression des charges utiles de suivi.
La nouvelle variante repérée dans la dernière campagne du 29 AVRIL est fortement obscurcie à l’aide de la duplication RVA, des incompatibilités des tables d’exportation et des instructions indésirables pour rendre l’ingénierie inverse plus difficile.
CheckPoint note que l’obscurcissement des chaînes dans la nouvelle variante du chargeur de vin joue un rôle anti-analyse clé, ayant considérablement évolué par rapport aux anciennes versions.
« Auparavant, des outils automatisés tels que FLOSS pouvaient facilement extraire et désobfusquer des chaînes à partir d’un échantillon de chargeur de VIN déballé », expliquent les chercheurs.
« L’implémentation améliorée de la nouvelle variante perturbe ce processus, entraînant l’échec de l’extraction automatisée des chaînes et de la désobfuscation. »
Étant donné que la campagne était très ciblée et que le logiciel malveillant s’exécutait entièrement en mémoire, Check Point n’a pas été en mesure de récupérer la charge utile complète de la deuxième étape de WineLoader ou des plugins supplémentaires, de sorte que l’éventail complet de ses capacités ou de sa nature personnalisée par victime reste flou.
Les résultats de Check Point montrent que les tactiques et les outils de l’APT 29 évoluent, devenant plus furtifs et plus avancés, nécessitant des défenses multicouches et une vigilance accrue pour détecter et arrêter.