Dans le cadre de leur veille continue des activités malveillantes, les experts de Kaspersky ont découvert en février 2024 une campagne de cyberespionnage jusqu’alors inconnue, ciblant une entité gouvernementale du Moyen-Orient. L’attaquant a secrètement espionné la cible et récolté des données sensibles à l’aide d’un ensemble d’outils sophistiqués conçus pour mettre en œuvre une campagne furtive et persistante.

Les droppers initiaux du malware se présentent sous la forme de fichiers d’installation altérés destinés au téléchargement du logiciel légitime Total Commander. Des extraits de poèmes espagnols sont intégrés à ces injecteurs, qui comportent différentes chaînes d’un échantillon à l’autre. Ces variations visent à modifier la signature de chaque échantillon, participant à compliquer leur détection par les méthodes traditionnelles.

Le dropper contient un code malveillant conçu pour télécharger des charges utiles supplémentaires sous la forme de portes dérobées appelées CR4T. Ces portes dérobées, développées en C/C++ et GoLang, donnent aux acteurs de la menace l’accès à l’appareil de la victime. La variante GoLang utilise notamment l’API Telegram pour les communications C2, en mettant en œuvre des bindings API Telegram publics de Golang.

« Les variantes du logiciel malveillant montrent l’adaptabilité et l’ingéniosité des acteurs de la menace derrière cette campagne. Pour l’instant, nous avons découvert deux implants de ce type, mais nous soupçonnons fortement l’existence d’autres implants », commente Sergey Lozhkin, chercheur principal en sécurité au GReAT de Kaspersky.

La télémétrie de Kaspersky a permis d’identifier une première victime au Moyen-Orient dès février 2024. De plus, plusieurs transferts du même logiciel malveillant vers un service parapublic de recherche en malware ont eu lieu à la fin de l’année 2023, avec plus de 30 envois. D’autres sources soupçonnées d’être des nœuds de sortie ont été localisées en Corée du Sud, au Luxembourg, au Japon, au Canada, aux Pays-Bas et aux États-Unis.