Fin février 2024, Mandiant a identifié APT29 – un groupe menaçant soutenu par la Fédération de Russie et lié par plusieurs gouvernements au Service russe de renseignement extérieur (SVR) – qui menait une campagne de phishing ciblant les partis politiques allemands.
Conformément aux opérations APT29 remontant à 2021, cette opération a exploité la charge utile principale ROOTSAW (également connue sous le nom d'EnvyScout) d'APT29 pour fournir une nouvelle variante de porte dérobée connue sous le nom de WINELOADER. Cette activité représente une rupture par rapport au ciblage typique de l'APT29 contre les gouvernements, les ambassades étrangères et autres missions diplomatiques et c'est la première fois que Mandiant identifie l'intérêt opérationnel de ce sous-cluster APT29 pour les partis politiques.
De plus, même si APT29 a déjà utilisé des documents d'appât portant le logo d'organisations gouvernementales allemandes, c'est la première fois que le groupe utilise du contenu d'appât en langue allemande - un résultat possible des publics différents des deux opérations. Les courriels de phishing envoyés aux victimes prétendaient être une invitation à un dîner et portaient le logo de l'Union chrétienne-démocrate (CDU). Le document d'appât en langue allemande contient un lien de phishing qui conduit les victimes vers un fichier ZIP malveillant contenant un compte-gouttes ROOTSAW hébergé sur un site Web compromis contrôlé par les acteurs. ROOTSAW a livré un document leurre sur le thème CDU dans la deuxième étape et une charge utile WINELOADER dans l'étape suivante.
Plus sur Mandiant.com
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.
Articles liés au sujet