Malware Voldemort : nous savons qui se cache derrière - Recherche Proofpoint
octobre 2024 par Proofpoint, Inc.
En août dernier, les chercheurs de Proofpoint ont identifié une campagne inhabituelle utilisant un logiciel malveillant nommé « Voldemort », se faisant notamment passer pour la Direction Générale des Finances Publiques en France, et dont l’objectif est de collecter des renseignements auprès des organismes d’assurances.
Les chercheurs de Proofpoint attribuent désormais cette campagne au groupe de menace TA415, aligné sur la Chine (également connu sous le nom d’APT41 et Brass Typhoon). Cette attribution est basée sur des chevauchements avec l’activité de TA415 rapportée publiquement par Mandiant en juillet 2024 et de l’utilisation du malware Voldemort.
En outre, fin août 2024, Proofpoint avait identifié une campagne ciblée présentant une chaîne d’attaque presque identique pour diffuser la porte dérobée Voldemort. Cette activité a usurpé l’identité d’une association taïwanaise de l’industrie aérospatiale et a ciblé, à plusieurs reprises, cinq autres entreprises du secteur aux États-Unis et à Taïwan, correspondant au ciblage typique associé à TA415 et à d’autres acteurs étatiques alignés sur la Chine.
Cette activité s’est poursuivie jusqu’à la fin du mois de septembre 2024 et a également ciblé un petit nombre d’organisations dans les secteurs de la chimie, de l’assurance et de la fabrication.
Pour les chercheurs Proofpoint, « Bien que l’activité semble correspondre à une activité d’espionnage, il est possible que de futures activités associées à ce groupe de menaces modifient cette évaluation. Dans ce cas, il semblerait que les acteurs cybercriminels, tout en présentant certaines caractéristiques typiques de la cybercriminalité, aient utilisé des logiciels malveillants personnalisés dotés de caractéristiques inhabituelles dont seuls les opérateurs disposent actuellement et qui ne sont pas utilisés dans le cadre de campagnes de grande envergure, ainsi qu’un ciblage très spécifique que l’on ne retrouve normalement pas dans les campagnes à motivation financière. »