Les chercheurs de l’éditeur Européen de solutions de sécurité, ont découvert un nouveau groupe de pirates qui vole des documents sensibles à des gouvernements d’Europe de l’Est et des Balkans depuis 2011. Le groupe, qui n’avait jusqu’à présent fait l’objet d’aucune étude, a recours à l’hameçonnage sur le thème de la COVID_19.
Nommé XDSpy par ESET, il a réussi à échapper à quasiment toute détection pendant neuf ans, ce qui est rare. Le groupe d’espionnage a compromis de nombreuses agences gouvernementales et entreprises privées. La découverte a été présentée durant la conférence VB2020 localhost.
« Le groupe a attiré très peu l’attention du public jusqu’à présent, à l’exception d’un avis du CERT biélorusse en février 2020, » explique Mathieu Faou, le chercheur d’ESET qui a analysé le malware.
Les opérateurs de XDSpy utilisent des emails d’hameçonnage pour compromettre leurs cibles. Les emails sont légèrement différents les uns des autres, car certains contiennent une pièce jointe, tandis que d’autres contiennent un lien vers un fichier malveillant. Le premier niveau du fichier malveillant ou de la pièce jointe malveillante est généralement une archive ZIP ou RAR. Fin juin 2020, les opérateurs ont intensifié leur campagne à l’aide d’une vulnérabilité dans Internet Explorer, CVE-2020-0968, qui avait été corrigée en avril 2020. « Le groupe a suivi la mouvance sur le COVID_19 pour ses campagnes de harponnage, au moins deux fois en 2020, dont une fois il y a seulement un mois, » ajoute M. Faou.
« Comme nous n’avons trouvé aucune similitude avec d’autres familles de malwares au niveau du code, et que nous n’avons observé aucun chevauchement dans l’infrastructure réseau, nous en concluons donc que XDSpy est un groupe qui a réussi à passer inaperçu jusqu’à présent, » conclut M. Faou.
Les cibles du groupe XDSpy sont situées en Europe de l’Est et dans les Balkans. Il s’agit principalement d’entités gouvernementales, notamment l’Armée, des ministères des Affaires étrangères et des entreprises privées.