Un acteur malveillant soupçonné d’avoir des liens avec l’Inde a été observé en train de cibler un ministère européen des Affaires étrangères avec un logiciel malveillant capable de collecter des données sensibles à partir d’hôtes compromis.

Le Trellix Advanced Research Center a attribué cette activité à un groupe de menaces persistantes avancées (APT) appelé DoNot Team , également connu sous les noms d’APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 et Viceroy Tiger. Il est considéré comme actif depuis 2016.

« DoNot APT est connu pour utiliser des logiciels malveillants Windows personnalisés, y compris des portes dérobées comme YTY et GEdit, souvent transmises via des e-mails de spear-phishing ou des documents malveillants », ont déclaré les chercheurs de Trellix Aniket Choukde, Aparna Aripirala, Alisha Kadam, Akhil Reddy, Pham Duy Phuc et Alex Lanstein .

« Ce groupe de menace cible généralement les entités gouvernementales, les ministères des Affaires étrangères, les organisations de défense et les ONG, en particulier celles d’Asie du Sud et d’Europe. »

La chaîne d’attaque commence par des e-mails de phishing qui visent à inciter les destinataires à cliquer sur un lien Google Drive pour déclencher le téléchargement d’une archive RAR, ce qui ouvre ensuite la voie au déploiement d’un malware baptisé LoptikMod, utilisé exclusivement par le groupe depuis 2018.

Les messages, selon Trellix, proviennent d’une adresse Gmail et se font passer pour des responsables de la défense, avec une ligne d’objet faisant référence à la visite d’un attaché de défense italien à Dhaka, au Bangladesh.

« L’e-mail utilisait un formatage HTML avec un codage UTF-8 pour afficher correctement les caractères spéciaux comme « é » dans « Attaché », démontrant une attention aux détails pour augmenter la légitimité », a noté Trellix dans sa déconstruction de la séquence d’infection.

L’archive RAR distribuée via les e-mails contient un exécutable malveillant qui imite un document PDF, dont l’ouverture provoque l’exécution du cheval de Troie d’accès à distance LoptikMod qui peut établir une persistance sur l’hôte via des tâches planifiées et se connecter à un serveur distant pour envoyer des informations système, recevoir d’autres commandes, télécharger des modules supplémentaires et exfiltrer des données.

Il utilise également des techniques anti-VM et l’obfuscation ASCII pour entraver l’exécution dans les environnements virtuels et échapper à l’analyse, ce qui complique considérablement la détermination de l’objectif de l’outil. De plus, l’attaque garantit qu’une seule instance du logiciel malveillant est active sur le système compromis afin d’éviter toute interférence potentielle.

Trellix a déclaré que le serveur de commande et de contrôle (C2) utilisé dans la campagne est actuellement inactif, ce qui signifie que l’infrastructure a été temporairement désactivée ou n’est plus fonctionnelle, ou que les acteurs de la menace sont passés à un serveur complètement différent.

L’état inactif du serveur C2 signifie également qu’il n’est actuellement pas possible de déterminer l’ensemble exact des commandes transmises aux points de terminaison infectés et les types de données renvoyées en réponse.

« Leurs opérations sont marquées par une surveillance constante, l’exfiltration de données et un accès à long terme, ce qui suggère une forte motivation de cyberespionnage », ont déclaré les chercheurs. « Historiquement concentrés sur l’Asie du Sud, cet incident visant les ambassades sud-asiatiques en Europe témoigne d’une nette expansion de leurs intérêts vers les communications et le renseignement diplomatiques européens. »