Un redoutable groupe de cybercriminels russes mène des cyberattaques en Europe. Selon une enquête de Check Point, les pirates ciblent actuellement des diplomates et des gouvernements européens à l’aide d’un nouveau virus. L’offensive aboutit au pillage de données confidentielles…
Midnight Blizzard, un gang de pirates affiliés à la Russie, mène actuellement une série de cyberattaques en Europe. Selon les chercheurs de Check Point, les cybercriminels se servent d’un nouveau virus, appelé GrapeLoader, dans le cadre d’une vaste campagne de phishing à l’encontre d’entités diplomatiques européennes.
Réputé pour collaborer avec les services de renseignement de la Russie, le gang est connu pour s’être attaqué à HPE (Hewlett Packard Enterprise), à des diplomates français, ainsi qu’à l’entreprise SolarWinds par le passé. L’an dernier, Midnight Blizzard est aussi parvenu à pénétrer dans les systèmes de Microsoft pour pirater la boîte mail de plusieurs de ses dirigeants. Les pirates ont pu espionner les communications sensibles des responsables. Peu après, le gang a compromis l’infrastructure de TeamViewer, l’un des plus importants logiciels de contrôle à distance.
À lire aussi : Face aux cyberattaques russes, les États-Unis baissent la garde
Une combinaison de nouveaux virus
Pour piéger les diplomates européens, les hackers commencent par usurper l’identité d’un ministère des Affaires étrangères. En se faisant passer pour ce ministère, les pirates vont envoyer un mail à la cible. Le courriel contient une invitation pour une dégustation de vin. Afin de confirmer leur présence, les cibles sont invitées à cliquer sur un lien malveillant. Celui-ci déclenche le téléchargement et l’installation d’une archive ZIP. Les prémices de l’offensive sont typiques des attaques de phishing. Cette archive renferme le malware GrapeLoader. Il s’agit d’un loader, un logiciel malveillant uniquement conçu pour installer d’autres virus sur les ordinateurs infectés.
Ce malware va déployer une porte dérobée intitulée WineLoader. La backdoor va alors prendre le relais et siphonner toutes les données disponibles sur la machine, comme l’adresse IP du PC, le nom du processus en cours, l’utilisateur Windows, le nom de l’ordinateur, et le niveau de privilège. Comme l’explique Check Point, les pirates russes se servent d’une toute nouvelle variante de WineLoader, plus discrète. En combinant ces nouveaux outils criminels, Midnight Blizzard a mis au point une attaque furtive, capable de berner de nombreux mécanismes de sécurité.
À lire aussi : Des cyberattaques russes frappent à nouveau la France
Des attaques en cours depuis janvier 2025
Dans son rapport, Check Point précise que le gang vise des gouvernements, dont « des ambassades de pays non européens situées en Europe ». Des « diplomates basés au Moyen-Orient » ont aussi été visés. La vague d’attaques a débuté en janvier 2025.
Plusieurs groupuscules criminels affiliés à la Russie orchestrent des opérations de cyberespionnage en Europe depuis des années. Outre Midnight Blizzard, des gangs comme Sandworm et Winter Vivern mènent des cyberattaques sophistiquées contre des infrastructures critiques, notamment dans le secteur de l’énergie, ou contre des organisations gouvernementales et militaires en Europe.
Ces groupes opèrent avec des moyens techniques avancés, fournis par les services de renseignements de la Russie, dans le but de dérober des données confidentielles. Les cibles des pirates sont de plus en plus variées. On y trouve de plus en plus des ministères, des hôpitaux, des institutions, mais aussi des journalistes, des chercheurs et des ONG. En parallèle, la Russie est accusée d’orchestrer des opérations de désinformation à grande échelle dans le but de déstabiliser les démocraties occidentales.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Check Point