Des diplomates européens ont été la cible de cyberattaques de la part du groupe russe de hackers APT29. Ce dernier a tenté d’accéder à leurs données par des invitations à de faux événements.
Cette nouvelle attaque de phishing visait principalement des institutions diplomatiques européennes, y compris des ambassades de pays non européens. APT29 s’est fait passer pour un important ministère européen des affaires étrangères et a envoyé de fausses invitations à des événements diplomatiques – souvent des dégustations de vins -, afin d’induire ses victimes en erreur. Ces actes ont été découverts par des chercheurs de Check Point Research (CPR).
Les attaques se sont propagées par le biais de courriels de phishing (hameçonnage) et exploitaient le logiciel malveillant de porte dérobée Grapeloader. Les chercheurs de CPR ont découvert plusieurs variantes de Grapeloader envoyées à des cibles spécifiques, ainsi qu’une nouvelle variante de Wineloader. Ce dernier logiciel avait permis d’attaquer quelques partis politiques allemands début 2024.
Cozy Bear
Le timing et les similitudes techniques entre les Grapeloader et Wineloader révèlent une tactique d’attaque coordonnée et progressive. Voilà qui démontre la capacité d’adaptation des hackers russes, et souligne la nécessité d’une vigilance accrue de la part des institutions diplomatiques. APT29, également connu sous les appellations Midnight Blizzard ou Cozy Bear, s’en prend hélas à des organisations importantes telles que des agences gouvernementales et des groupes de réflexion. Une attaque contre la chaîne d’approvisionnement de SolarWinds est également à mettre à son compte. Ses activités vont de campagnes d’hameçonnage ciblées à de vastes attaques contre les chaînes d’approvisionnement, où le groupe russe utilise généralement divers types de logiciels malveillants.