Un acteur en ligne avec le Belarus connu publiquement comme Ghostwriter - également tracé comme FrostyNeedbor, PUSHCHA, Storm-0257, TA445, Umbrial Bison / RepeatingUmbra, NC1151, entre autres - a réactivé une série de campagnes dirigées contre le gouvernement et les institutions de défense en Ukraine, selon une analyse récente partagée avec les médias et les laboratoires de vente. Ces opérations, actives depuis au moins 2016, montrent une évolution constante des méthodes et des outils : de l'utilisation de PicassoLoader et de Cobalt Strike à l'exploitation de vulnérabilités dans WinRAR (CVE-2023-38831) et Roundcube webmail (CVE-2024-42009).
Ce qui distingue ce groupe n'est pas seulement la persistance historique, mais sa échéance opérationnelle. Les attaquants combinent des validations servo-side pour éviter d'activer des charges malveillantes hors cible (géofencing), utilisent des CAPTCHA dynamiques comme technique anti-analyse, et sélectionner manuellement des victimes de grande valeur après la collecte des empreintes du système. Le flux typique détecté depuis mars 2026 utilise des PDF de leurres qui incluent des liens vers des fichiers RAR; ces RAR contiennent des charges utiles JavaScript qui lancent une version de PicassoLoader pour finalement déployer Cobalt Strike Beacon dans les systèmes d'intérêt.
Outre l'objectif principal en Ukraine, les campagnes précédentes et parallèles ont touché la Pologne, la Lituanie et d'autres pays de la région, avec une victimologie plus large couvrant les secteurs industriel, sanitaire et logistique. La stratégie consistant à compromettre les comptes de courrier légitimes et à les utiliser pour diffuser de nouveaux messages d'hameçonnage accroît le risque : une seule boîte aux lettres prise peut devenir une plateforme de fiançailles en chaîne, permettant des enquêtes internes, l'exfiltration des contacts et l'escalade de l'accès.
Ces tactiques s'inscrivent dans un contexte plus large où l'État ou les groupes alignés et les acteurs criminels et hackertivistes opèrent avec des objectifs différents mais souvent chevauchants : interrompre, espionner ou profiter. Des rapports contemporains ont mis en évidence les campagnes de Gamaredon contre les institutions ukrainiennes, les opérations de hackertivistes pro-ukrainiens contre des cibles russes et les escroqueries financières qui abusent des comptes commis pour détourner les paiements.
Pour les défenseurs et les responsables de la sécurité, cela a plusieurs implications pratiques. Premièrement, la combinaison de leurres convaincants et de validations servo-side complique l'analyse traditionnelle, parce que de nombreux échantillons ne montrent pas la charge utile s'ils sont consultés par les IP ou utilisent des agents en dehors de la cible. Deuxièmement, l'existence de plusieurs étapes (dropper JavaScript → loader → Beacon) nécessite une détection à différents niveaux : analyse des attaches et des liens, instrumentation du navigateur / JS, comportement de l'extrémité et télémétrie réseau persistante.
Les recommandations spécifiques commencent par corriger les vecteurs d'exploitation connus : appliquer des correctifs et des mesures d'atténuation pour des composants tels que WinRAR et Roundcube, revoir les configurations et mettre à jour les versions sans vulnérabilités connexes (voir les puces CVE pour plus de détails techniques). Pour les références officielles sur les vulnérabilités ci-dessus, voir les entrées dans la base de données sur la vulnérabilité nationale : CVE-2023-38831 et CVE-2024-42009.
En parallèle, renforcer la protection sur le périmètre et le courrier: activer l'authentification multifactorielle obligatoire, mettre en œuvre les politiques SPF / DKIM / DMARC avec une surveillance active, désactiver ou restreindre l'exécution de code à partir de fichiers compressés ou de documents intégrés, et utiliser lien et attache sandboxing. L'instrumentation EDR avec détection de comportement (p. ex. processus qui démarrent PowerShell / JS à partir de RAR ou ouvrent des connexions persistantes à des domaines inhabituels) augmente la probabilité de détection précoce.
À partir du réseau, surveiller et bloquer les indicateurs du CIO et les modèles de balises associés à des charges telles que Cobalt Strike; limiter le trafic sortant aux destinations autorisées et appliquer la segmentation pour empêcher les mouvements latéraux. Dans le cas des organisations opérant dans l'environnement de la défense et de l'administration publique, envisager d'autres mesures de contrôle, telles que l'application blanche, qui permettent la liste et des examens rigoureux des privilèges et de l'accès à distance.
Si vous soupçonnez un engagement, agissez avec un confinement immédiat : isolez les machines touchées, conservez les registres et les preuves, changez les titres de compétence et effectuez une recherche de portée pour détecter les infiltrations et les comptes utilisés pour pivoter. Coordonner l'intervention avec les autorités nationales de cybersécurité et les fournisseurs de renseignements, et partager les PTT et les artefacts pour améliorer la détection collective.
La relation entre les opérations de l'État, le piratage et le crime organisé dans la région montre que la cybersécurité n'est plus une question technique mais une question géopolitique et économique. Pour maintenir une position défensive efficace, les organisations et les fournisseurs doivent combiner des correctifs diligents, une surveillance multicouche et une collaboration sectorielle. Pour suivre la couverture technique et l'analyse publiée sur ces campagnes, la presse spécialisée et l'analyse des ventes sont disponibles: Les nouvelles Hacker et des rapports de recherche dans l'écosystème de sécurité tels que ceux publiés par ESET en Sécurité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...