Un groupe d’activités malveillantes jusqu’alors inconnu a été observé, usurpant l’identité de la société slovaque de cybersécurité ESET dans le cadre d’attaques de phishing ciblant des entités ukrainiennes.

La campagne, détectée en mai 2025, est suivie par l’organisation de sécurité sous le nom d’ InedibleOchotense , qui la décrit comme étant alignée sur la Russie.

« InedibleOchotense a envoyé des courriels d’hameçonnage ciblés et des SMS Signal, contenant un lien vers un programme d’installation ESET piégé, à plusieurs entités ukrainiennes », a déclaré ESET dans son rapport sur l’activité APT du deuxième trimestre 2025 au troisième trimestre 2025, partagé avec The Hacker News.

Il est établi qu’InedibleOchotense partage des similitudes tactiques avec une campagne documentée par EclecticIQ qui impliquait le déploiement d’une porte dérobée appelée BACKORDER et par CERT-UA sous le nom de UAC-0212 , qu’il décrit comme un sous-groupe au sein du groupe de pirates informatiques Sandworm (alias APT44).

Bien que le courriel soit rédigé en ukrainien, ESET indique que la première ligne contient un mot russe, probablement une faute de frappe ou une erreur de traduction. Ce courriel, qui prétend provenir d’ESET, affirme que son équipe de surveillance a détecté une activité suspecte associée à leur adresse électronique et que leurs ordinateurs pourraient être menacés.

Cette activité est une tentative de tirer profit de l’utilisation généralisée du logiciel ESET dans le pays et de sa réputation de marque pour inciter les destinataires à installer des installateurs malveillants hébergés sur des domaines tels que esetsmart[.]com, esetscanner[.]com et esetremover[.]com.

Le programme d’installation est conçu pour fournir le logiciel légitime ESET AV Remover, ainsi qu’une variante d’une porte dérobée C# nommée Kalambur (ou SUMBUR), qui utilise le réseau d’anonymisation Tor pour le contrôle et la commande. Il est également capable de désactiver OpenSSH et d’activer l’accès à distance via le protocole RDP (Remote Desktop Protocol) sur le port 3389.

Il convient de noter que le CERT-UA, dans un rapport publié le mois dernier, a attribué une campagne presque identique à UAC-0125 , un autre sous-groupe au sein de Sandworm.

« InedibleOchotense est un acteur malveillant lié à la Russie, faiblement apparenté à Sandworm, et dont les activités recoupent celles de la campagne BACKORDER de Sandworm et de l’incident UAC-0212 », a déclaré Matthieu Faou, chercheur principal en logiciels malveillants chez ESET, à The Hacker News. « Bien qu’il existe certaines similitudes avec ce qui a été signalé par le CERT-UA sous la désignation UAC-0125, nous ne pouvons pas confirmer ce lien de manière indépendante. »

Attaques de vers des sables en Ukraine#

Selon ESET, Sandworm a continué à mener des campagnes destructrices en Ukraine, en lançant deux logiciels malveillants d’effacement de données identifiés sous les noms de ZEROLOT et Sting, ciblant une université non identifiée en avril 2025, suivis du déploiement de multiples variantes de logiciels malveillants d’effacement de données ciblant les secteurs gouvernementaux, énergétiques, logistiques et céréaliers.

« Au cours de cette période, nous avons observé et confirmé que le groupe UAC-0099 a mené des opérations d’accès initiales, puis a transféré des cibles validées à Sandworm pour des activités de suivi », a déclaré la société. « Ces attaques destructrices menées par Sandworm nous rappellent que les logiciels de piratage restent un outil fréquemment utilisé par les acteurs malveillants liés à la Russie en Ukraine. »

Exploitation de failles 0-day dans WinRAR pour les comédies romantiques#

Un autre acteur de menace aligné sur la Russie et notable qui a été actif pendant cette période est RomCom (alias Storm-0978, Tropical Scorpius, UNC2596 ou Void Rabisu), qui a lancé des campagnes de spear-phishing à la mi-juillet 2025 qui ont exploité une vulnérabilité de WinRAR ( CVE-2025-8088 , score CVSS : 8,8) dans le cadre d’attaques ciblant des entreprises financières, manufacturières, de défense et de logistique en Europe et au Canada.

« Les tentatives d’exploitation réussies ont permis d’introduire diverses portes dérobées utilisées par le groupe RomCom, notamment une variante de SnipBot [alias SingleCamper ou RomCom RAT 5.0], RustyClaw et un agent Mythic », a déclaré ESET.

Dans un profil détaillé de RomCom publié fin septembre 2025, AttackIQ a décrit le groupe de pirates informatiques comme surveillant de près les développements géopolitiques liés à la guerre en Ukraine et les exploitant pour mener des activités de collecte d’identifiants et d’exfiltration de données, probablement au service des objectifs russes.

« RomCom a été initialement développé comme un logiciel malveillant standard pour la cybercriminalité, conçu pour faciliter le déploiement et la persistance de charges utiles malveillantes, permettant son intégration dans d’importantes opérations de ransomware axées sur l’extorsion », a déclaré le chercheur en sécurité Francis Guibernau . « RomCom est passé d’un logiciel purement lucratif à un outil utilisé dans des opérations étatiques. »