La persistance du groupe malveillant APT42

APT42 : Le groupe malveillant qui menace la sécurité mondiale

Depuis sa découverte par les chercheurs en sécurité de Mandiant Threat Intelligence en septembre 2022, le groupe de cybercriminels connu sous le nom d’APT42, également identifié sous les pseudonymes CharmingCypress, Charming Kitten, ou TA453, a émergé comme une menace persistante dans le paysage numérique mondial.

Cette organisation, active depuis 2015, a mené au moins 30 opérations dans 14 pays, laissant derrière elle un sillage de destruction et de méfiance.

L’une des caractéristiques distinctives d’APT42 est son utilisation habile de divers outils et techniques pour échapper à la détection et à l’attribution. En effet, le groupe exploite des nœuds ExpressVPN, des domaines hébergés par Cloudflare et des serveurs VPS éphémères lors de ses interactions avec l’environnement de la victime, rendant ainsi la tâche des chercheurs en sécurité et des forces de l’ordre plus ardue.

L’arsenal de piratage d’APT42 comprend également des méthodes sophistiquées telles que l’utilisation de la porte dérobée “Tamecat” de PowerShell, permettant l’exécution de code PS arbitraire ou de scripts C#. Cette technique, combinée à une connaissance approfondie des outils cloud, permet à APT42 de limiter ses actions aux fonctionnalités intégrées des services auxquels il a accès, minimisant ainsi les chances de détection.

Une des stratégies remarquables d’APT42 réside dans sa capacité à utiliser des adresses e-mail apparemment légitimes appartenant à l’organisation ciblée pour exfiltrer des données vers des comptes OneDrive, camouflant ainsi ses activités dans le flot normal des communications. De plus, le groupe efface systématiquement l’historique de navigation de Google Chrome après avoir exploité des documents, ce qui rend la traque et la reconnaissance de ses actions encore plus complexes.

Selon les experts de Volexity, APT42 se concentre principalement sur la collecte de renseignements politiques contre des cibles étrangères, en mettant particulièrement l’accent sur les groupes de réflexion, les ONG et les journalistes. Cette focalisation sur les institutions clés de la société renforce l’impact potentiellement dévastateur des opérations d’APT42 sur la stabilité politique et sociale des pays visés.

Récemment, en mai 2024, des pirates informatiques iraniens ont été découverts en train de propager des logiciels malveillants par le biais d’une fausse carte de presse de journaliste. Cette opération met en lumière la capacité d’APT42 à s’adapter et à évoluer dans son modus operandi pour atteindre ses objectifs malveillants.

En outre, Mandiant Threat Intelligence a averti que les activités de surveillance d’APT42 présentaient un risque imminent pour les individus ciblés, en particulier les Iraniens détenant une double nationalité, les anciens fonctionnaires et les dissidents. Que ce soit en Iran ou à l’étranger, ces personnes sont exposées à des menaces directes contre leur sécurité personnelle, soulignant ainsi l’ampleur du danger que représente ce groupe pour la société civile.

En conclusion, APT42 demeure une menace significative pour la sécurité mondiale, exploitant sans relâche les failles des systèmes informatiques et ciblant des individus et des organisations clés à travers le monde. Sa capacité à s’adapter et à innover dans ses méthodes de piratage en fait un adversaire redoutable, nécessitant une vigilance constante et une coopération internationale accrue pour contrer ses activités néfastes.

A propos de l'auteur

Retour en haut