News
Cybermenaces : Quand espionnage et cybercriminalité convergent
juillet 2025 par Proofpoint, Inc.
Dans un contexte de tensions géopolitiques, les motivations nouvelles des acteurs de la menace continuent de brouiller les frontières entre cyber espionnage et cybercriminalité. Les campagnes, les indicateurs et les comportements des acteurs ont convergé, rendant l’attribution et le regroupement au sein de l’écosystème plus difficiles.
Récemment, les chercheurs de Proofpoint ont ainsi identifié un chevauchement d’activité préoccupant entre les groupes TA829 et UNK_GreenSec.
Dans leur analyse publiée aujourd’hui, ils indiquent avoir observé des similitudes dans les infrastructures de campagnes, les tactiques de diffusion et les composants de logiciels malveillants des deux groupes. Ces observations pourraient correspondre à une collaboration ou des ressources communes au sein des réseaux de cybercriminalité.
Voici les principales conclusions de leur rapport de recherche :
• Le groupe TA829 mène à la fois des campagnes à motivation financière mais également des campagnes d’espionnage pour les intérêts de l’État russe. Il utilise des outils personnalisés tels que la porte dérobée RomCom et le logiciel malveillant DustyHammock.
• Les chercheurs de Proofpoint ont observé un nouveau logiciel malveillant, exploité par un groupe bien distinct et qu’ils ont baptisé UNK_GreenSec. Ce dernier a déployé un nouveau chargeur et une porte dérobée appelée TransferLoader, et lié à attaques par ransomware, mené notamment par le logiciel Morpheus.
• Les deux acteurs s’appuient tout deux sur les routeurs MikroTik compromis (nœuds proxy REM) pour la distribution d’e-mails, qui utilisent des chaînes de redirection similaire et usurpent des pages de destination OneDrive / GoogleDrive. Toutefois, ce chevauchement d’infrastructure s’arrête au stade de la livraison de charge utile (cf. schéma ci-dessus)
• Les deux groupes pourraient partager les mêmes fournisseurs d’infrastructures tiers mais également être en collaboration directe voire n’être qu’un seul et même acteur testant de nouveaux outils.
Selon les chercheurs de Proofpoint : « la délimitation des activités de groupes distincts et la séparation de la cybercriminalité de l’espionnage peuvent être effectuées en se basant sur des tactiques, techniques et procédures (TTP) différentes, l’outillage, le volume/l’échelle et le ciblage. Cependant, nous observons une certaine ambiguïté dans le cas de TA829 et du nouveau groupe dénommé UNK_GreenSe » précisent les chercheurs de Proofpoint. « Si TA829 est un acteur criminel bien identifié, qui mène aussi, occasionnellement, des activités d’espionnage alignées sur les intérêts de l’État russe, les activités de UNK_GreenSec sont inhabituelles. En l’état, il n’y a pas suffisamment de preuves pour étayer la nature exacte de la relation entre TA829 et UNK_GreenSec mais il est fort probable qu’un lien existe entre les groupes. »
