Un groupe lié aux intérêts russes s'est concentré sur une institution financière européenne par le biais d'une attaque d'ingénierie sociale visant à obtenir l'accès et, le plus probable, des données ou des fonds. L'opération, détectée au début du mois, non seulement reproduit des techniques connues de cybercriminels opérant contre des cibles en Ukraine, mais suggère également un déplacement des intérêts vers des organisations occidentales qui soutiennent la reconstruction et l'assistance à la nation en guerre.
Selon l'analyse publiée par la société de cybersécurité BlueVoyant les agresseurs ont fait une expédition dirigée depuis un faux domaine qui a simulé l'appartenance au système judiciaire ukrainien. Le courrier a été adressé à un conseiller juridique et politique principal de l'organisme cible, une personne ayant un accès privilégié aux processus de recrutement et aux mécanismes financiers, ce qui en fait une cible particulièrement précieuse.
La poubelle n'est pas venue seule : le message contenait un lien vers un fichier hébergé dans un service d'échange public (PixelDrain) (pixeldrain.com), une tactique utilisée pour éviter les contrôles basés sur la réputation. Lorsque vous téléchargez le paquet compressé, vous démarrez une chaîne d'infection délibérément enveloppé dans: à l'intérieur du ZIP il y avait un fichier RAR qui à son tour contenait un 7-Zip protégé par mot de passe. Le but final était un exécutable qui a été incarné par un document PDF profitant de l'ancien cadre de la double extension (* .pdf.exe).
L'exécution de ce fichier a conduit à l'installation d'un MSI qui a déployé Remote Manipulator System (RMS), un outil de télécommande légitime qui vous permet de prendre le contrôle des bureaux, partager l'écran et transférer des fichiers. L'utilisation de logiciels légitimes pour maintenir la persistance et le mouvement au sein du réseau est une pratique courante parmi les acteurs sophistiqués car elle réduit les possibilités de détection par les entreprises traditionnelles. Pour comprendre pourquoi cette technique est problématique, il suffit de se rappeler comment les attaquants profitent de programmes légitimes pour cacher leur activité, qui est bien décrite dans les cadres de référence comme MITRE ATT & CK.
L'opération a été attribuée à un ensemble tracé comme UAC-0050 - également connu dans certains rapports comme DaVinci Group - et baptisé par BlueVoyant comme Mercénaire Akula. Cet acteur a une histoire d'utiliser à la fois des outils d'accès à distance légitimes (comme LiteManager) et des Trojans d'accès à distance (par exemple RemcosRAT) dans les attaques contre des cibles ukrainiennes. Les autorités ukrainiennes, par l'intermédiaire du CERT-UA, ont décrit l'UAC-0050 comme un groupe de mercenaires ayant des liens avec les services de sécurité russes, qui se consacre à la collecte de données, au vol de fonds et à la conduite d'opérations de désinformation sous des marques telles que Fire Cells ( voir communication).
Au-delà de ce cas précis, les experts et les rapports internationaux font état d'une tendance inquiétante : les opérations des acteurs liés par la Russie semblent de plus en plus viser à obtenir des renseignements exploitables qui facilitent les attaques physiques ou financières post post-post. À titre d'exemple, des informations publiées récemment indiquent que les cyberattaques contre l'infrastructure énergétique ukrainienne ont cherché à établir la priorité de la collecte de données pour guider les attaques de missiles, plutôt que de provoquer des interruptions immédiates ( Le dossier).
Parallèlement, les grandes entreprises de cybersécurité prévoient que ces adversaires non seulement maintiendront leur agressivité, mais élargiront également le spectre des victimes. Dans son rapport annuel, CrowdStrike Il souligne comment des groupes comme APT29 (Cozy Bear) ont perfectionné des campagnes de phishing de vitesse qui exploitent les relations de confiance, supplantant des personnes réelles et utilisant des comptes engagés pour rendre leurs communications plus crédibles. Cet investissement dans l'authenticité fait des attaques ciblées une menace encore plus dangereuse pour les ONG, les entités juridiques et les acteurs travaillant avec l'Ukraine.
Ce qui se différencie de l'intrusion que BlueVoyant relate est, en plus de la complexité technique de l'emballage malveillant, l'objectif choisi: une figure avec responsabilité pour les achats et la finance. Ces profils peuvent fournir un accès direct à des informations critiques ou à des canaux à partir desquels déplacer ou cacher des fonds, ce qui renforce l'idée que les attaques actuelles combinent des fins d'espionnage, de fraude et de sabotage économique.
Pour les organisations et les professionnels travaillant dans des environnements liés à la reconstruction ou à l'aide internationale, la leçon est claire : les menaces ciblées utilisent des moyens de plus en plus polis pour passer par des communications légitimes et s'appuyer sur des outils communs pour éviter les alarmes. Bien qu'il n'y ait pas de barrière infaillible, la connaissance du remplacement du domaine, la méfiance à l'égard des fichiers compressés provenant de liens inattendus et la vérification par d'autres canaux avant d'ouvrir les pièces jointes peuvent réduire considérablement le risque.
Sur le plan stratégique, l'évolution de ces campagnes confirme deux points : d'une part, que les acteurs ayant une orientation étatique/parastatale continuent d'engager des groupes mercenaires pour des opérations hybrides ; d'autre part, que la frontière entre la cybercriminalité et les opérations de renseignement est diffuse, provoquant des incidents qui à première vue cherchent également des profits à poursuivre des objectifs de collecte de renseignements avec des conséquences potentiellement mortelles dans le monde physique.
Pour ceux qui veulent approfondir, le rapport BlueVoyant fournit les détails techniques de l'affaire ( Source), CERT-UA garde les alertes sur la tactique de l'UAC-0050 ( Voir note) et l'analyse des tendances des signatures telles que CrowdStrike contextualise ces incidents dans le cadre d'un modèle plus large d'opérations de cyberintelligence ( rapport annuel). Le récit du Record de l'utilisation de cyberattaques pour guider les attaques physiques est également une lecture pertinente pour comprendre la dimension hybride de ces menaces ( Analyse).
Bref, l'intrusion contre l'institution européenne n'est pas un cas isolé, mais un autre chapitre d'une campagne plus vaste où les acteurs à motivation géopolitique profitent des techniques d'ingénierie sociale, de l'infrastructure d'échange de fichiers publics et des logiciels légitimes pour entrer, rester et extraire de la valeur. La meilleure réponse reste une combinaison de surveillance technique, de formation continue du personnel et de coopération internationale entre les équipes de cybersécurité et les autorités.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...