ARTA - Un groupe de piratage russe soutenu par l’État, ColdRiver, est connu pour utiliser un nouveau logiciel malveillant nommé LostKeys dans des attaques d’espionnage contre des entités occidentales. L’équipe de renseignement sur les menaces de Google (Google Threat Intelligence Group /GTIG) a trouvé l’outil utilisé dans des programmes d’ingénierie sociale pour voler les fichiers et les données du système.
ColdRiver est en collusion avec l’Agence fédérale de sécurité de Russie (FSB), et le département d’État américain a offert des prix de millions de dollars pour des informations susceptibles de découvrir le groupe.
du cyberespionnage a maintenant un nouveau joueur: un malware voyous nommé LostKeys. Selon Google, un groupe de pirates d’État nommé ColdRiver utilise LostKeys depuis le début de cette année pour espionner les gouvernements occidentaux, les journalistes, les pensionnats et les ONG.
ColdRiver n’est pas un nouveau nom. En décembre 2024, la Grande-Bretagne et l’alliance de renseignement « Five Eyes » ont immédiatement accusé le groupe d’être un auteur d’espionnage numérique. ColdRiver a des relations directes avec le FSB, les agences de renseignement et la sécurité intérieure russes.
num a détecté LostKeys pour la première fois en janvier. Le logiciel malveillant a été utilisé par ColdRiver dans une attaque ciblée appelée clicFix. Cette attaque est essentiellement une escroquerie numérique avec des techniques d’ingénierie sociale, dans lesquelles la victime a été détectée pour exécuter un scénario dangereux PowerShell.
. Une fois exécuté, le scénario téléchargera et exécutera des scénarios supplémentaires pour installer LostKeys. Ce logiciel malveillant est identifié comme un voleur de données basé sur le Visual Basic Script (VBS), capable d’extraire certains fichiers et dossiers, d’envoyer des informations système et d’exécuter des commandes supplémentaires sur le serveur attaquant.
rénal, ColdRiver vole une authentification d’identification pour accéder aux e-mails et aux listes de contacts de la victime. Cependant, ils sont également connus pour avoir utilisé un autre logiciel malveillant nommé SPICA pour voler des documents. LostKeys semble être utilisé dans des cas plus spécifiques et sélectifs, ce qui en fait un outil spécial dans les opérations de renseignement de ColdRiver.
cez intéressant, ColdRiver n’est pas le seul groupe à utiliser la méthode rightFix. D’autres groupes parrainés par l’État tels que Kims sina (Corée du Nord), MuddyWater (Iran) et d’autres acteurs russes tels que APT28 et UNK_RemoteRogue ont également utilisé des tactiques similaires lors de leurs récentes campagnes de espionnage.
River, également connu sous d’autres noms tels que Star Blizzard et Callisto Group, renforce ses capacités d’ingénierie sociale et de collecte de renseignements à source ouverte depuis au moins en 2017. Leurs objectifs comprennent les organisations de défense, les gouvernements et les personnalités politiques. Leur attaque a fortement augmenté depuis l’invasion russe de l’Ukraine, s’étendant même aux installations de l’industrie de la défense et au département américain de l’énergie.
an, en fonction de l'administration américaine, plusieurs membres de ColdRiver ont imposé des sanctions, dont un présumé officier du FSB. Actuellement, les autorités américaines offrent une récompense majeure allant jusqu’à 10 millions de dollars à toute personne pouvant fournir des informations pour suivre d’autres membres - ce qui montre au sérieux des menaces posées par le groupe.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
