ESET Research enquête sur Donot Team, un groupe opérant des campagnes de Cyberespionnage visant des forces armées et des gouvernements en Asie du Sud

Prochain article

• ESET a analysé Gedit et DarkMusical, deux variantes du framework du malware yty. Les chercheurs d’ESET ont décidé de nommer l’une des variantes DarkMusical car de nombreux noms choisis par les agresseurs pour leurs fichiers et leurs dossiers sont inspirés du film High School Musical.
• Ces attaques visent des organisations gouvernementales et militaires, des ministères des affaires étrangères et des ambassades, et sont motivées par le cyberespionnage.
• Les cibles sont principalement situées en Asie du Sud : Bangladesh, Sri Lanka, Pakistan et Népal. Des ambassades de ces pays ont également été prises pour cible dans d’autres régions : Moyen-Orient, Europe, Amérique du Nord et Amérique latine.
• L’enquête d’ESET s’étend sur plus d’un an, de septembre 2020 à octobre 2021.
• Un récent rapport d’Amnesty International établit un lien entre les malwares du groupe et une société indienne de cybersécurité qui pourrait vendre ces logiciels espions.
• Le groupe a toujours visé les mêmes organisations depuis au moins deux ans, et il est possible que les agresseurs aient compromis les comptes de messagerie de certaines de leurs victimes.

Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert de récentes campagnes et un arsenal de menaces actualisées du groupe de pirates Donot Team (également connu sous les noms APT-C-35 et SectorE02). D’après les conclusions de l’étude, le groupe est très persistant et a toujours ciblé les mêmes organisations depuis au moins deux ans. ESET a surveillé Donot Team pendant plus d’un an, de septembre 2020 à octobre 2021. Selon la télémétrie d’ESET, ce groupe se concentre sur un petit nombre de cibles principalement en Asie du Sud : Bangladesh, Sri Lanka, Pakistan et Népal. Les ambassades de ces pays ont été prises pour cible dans d’autres régions : Moyen-Orient, Europe, Amérique du Nord et Amérique latine. Ces attaques visent des organisations gouvernementales et militaires, des ministères des affaires étrangères et des ambassades, et sont motivées par le cyberespionnage.

Donot Team opère depuis au moins 2016, et cible des organisations et des individus en Asie du Sud via des malwares Windows et Android. Un rapport récent d’Amnesty International établit un lien entre les malwares du groupe et une société indienne de cybersécurité, qui pourrait vendre les logiciels espions ou proposer un service de piratage à la demande à des gouvernements de la région.

« Nous avons suivi de près les activités de Donot Team et avons repéré plusieurs campagnes qui utilisent des malwares Windows dérivés du framework du malware yty, qui est propre au groupe, » a déclaré Facundo Muñoz, le chercheur d’ESET qui a mené l’enquête sur les activités du groupe.

L’objectif principal du framework « yty » est la collecte et l’exfiltration de données. Le framework se compose d’une chaîne de downloader qui finissent par télécharger une porte dérobée aux fonctionnalités minimales, utilisée pour télécharger et exécuter d’autres composants de la boîte à outils de Donot Team. Il s’agit notamment de modules de collecte de fichiers en fonction de leur extension et de l’année de création, de capture d’écran, d’enregistrement de frappe, de reverse shells, etc.

Pays visés par les récentes campagnes de Donot Team

Selon la télémétrie d’ESET, Donot Team a toujours ciblé les mêmes entités via des vagues d’courriels d’hameçonnage déclenchées tous les deux à quatre mois. Ces courriels contiennent des documents Microsoft Office malveillants en pièce jointe que les agresseurs utilisent pour déployer leurs malwares.

Il est intéressant de noter que les courriels récupérés et analysés par les chercheurs d’ESET ne présentaient aucun signe d’usurpation d’identité. « Certains courriels ont été envoyés par les mêmes organisations que celles attaquées. Il est possible que les agresseurs aient compromis des comptes de messagerie de certaines de leurs victimes lors de campagnes précédentes, voire le serveur de messagerie utilisé par ces organisations, » explique M. Muñoz.

Dans le dernier article sur le sujet, ESET a analysé deux variantes du framework du malware yty : Gedit et DarkMusical. Les chercheurs d’ESET ont décidé de nommer l’une des variantes DarkMusical en raison des noms que les attaquants ont choisi de donner à leurs fichiers et leurs dossiers : la plupart sont des célébrités occidentales ou des personnages du film High School Musical. Cette variante a été utilisée dans des campagnes visant des organisations militaires au Bangladesh et au Népal.

Pour plus de détails techniques sur les dernières campagnes de Donot Team, lisez l’article « DoNot Go! Do not respawn! » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.

Contact Presse :

Darina SANTAMARIA - 06 61 08 42 45 -  darina.j@eset-nod32.fr

Ines KHELIFI : +33 01 55 89 29 30 -  ines.k@eset-nod32.fr

À propos d'ESET

Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.

Pour plus d’informations, consultez www.eset.com/na 
et suivez-nous sur LinkedIn, Facebook et Twitter.