Depuis mi-novembre 2024, le groupe de cyberespionnage russe connu sous le nom de Star Blizzard lance une nouvelle campagne de phishing sophistiquée visant les comptes WhatsApp de certaines personnalités politiques et diplomatiques aux États-Unis. Microsoft Threat Intelligence a récemment publié un rapport détaillant cette offensive, soulignant les risques posés par ces nouvelles tactiques.
Une nouvelle méthode d’attaque via WhatsApp
Star Blizzard, également désigné sous d’autres appellations telles que SEABORGIUM ou Gossamer Bear, est un acteur de menace russe actif depuis au moins 2012. Ce groupe s’est fait remarquer par ses campagnes de spear-phishing ciblées contre diverses organisations non gouvernementales, journalistes, think tanks et chercheurs en relations internationales, surtout ceux dont les travaux touchent à la Russie et l’Ukraine. Selon Microsoft, cette nouvelle vague de cyberattaques exploite pour la première fois la plateforme WhatsApp.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Conformément aux observations faites par Microsoft Threat Intelligence, les assaillants reproduisent un schéma familier où ils envoient un premier e-mail se faisant passer pour un courrier provenant d’un fonctionnaire du gouvernement américain. L’e-mail invite les destinataires à rejoindre un groupe WhatsApp consacré aux initiatives non gouvernementales de soutien à l’Ukraine. Il contient un code QR qui semble diriger vers un domaine inoffensif, mais son vrai but est bien plus sinistre.
Leur objectif : voler des données sensibles
Lorsqu’une cible scanne ce code QR, elle lie son appareil et son compte WhatsApp à une version web contrôlée par les pirates. Ces derniers utilisent ensuite des extensions de navigateur spécialisées pour extraire les messages et autres données sensibles des comptes WhatsApp compromis. Cela permet aux hackers non seulement d’accéder aux conversations privées des victimes, mais aussi d’exfiltrer ces données pour potentiellement les utiliser dans d’autres opérations malveillantes.
Cette technique marque un changement significatif dans les méthodes opératoires (TTPs) de Star Blizzard et témoigne de leur capacité d’adaptation face aux actions prises par des entités comme Microsoft et le Département de la Justice des États-Unis, qui ont démantelé plus de 180 de leurs sites Web en octobre 2024. La vigilance et la résilience de ce groupe indiquent qu’il continuera probablement à adapter ses stratégies pour contourner les mesures de défense mises en place par les cibles potentielles.
Des cibles spécifiques liées à la diplomatie et à la défense
Les principaux objectifs de cette campagne de phishing incluent des individus liés au gouvernement, à la diplomatie, aux recherches sur la politique de défense ou aux relations internationales, surtout celles ayant trait aux sources d’aide pour l’Ukraine. En usurpant l’identité de figures politiques ou diplomatiques bien connues, les attaquants augmentent les chances que leurs emails soient ouverts et que les instructions malveillantes soient suivies.
Les conséquences de telles compromissions peuvent être graves. Non seulement elles exposent les communications confidentielles aux espions, mais elles peuvent aussi compromettre des initiatives stratégiques sensibles concernant la sécurité nationale et internationale. Des attaques réussies ont le potentiel de déstabiliser davantage des régions déjà fragilisées par des tensions géopolitiques croissantes.
Persistance et adaptabilité des acteurs de la menace
La fin de novembre 2024 semble marquer un essoufflement de cette campagne spécifique, mais rien ne garantit que les menaces ne reprendront pas sous une forme différente. Les évolutions constantes des TTPs de groupes tels que Star Blizzard exigent des entreprises et des organisations ciblées qu’elles se maintiennent constamment informées et prêtes à ajuster leurs défenses en conséquence. La guerre digitale se joue dans un terrain mouvant où chaque nouvelle attaque apporte son lot de défis à relever.
La collaboration entre entreprises technologiques, gouvernements et agences de sécurité cybernétique représente une réponse nécessaire pour détecter rapidement les nouvelles menaces et y répondre efficacement. Le déclenchement de procédures conjointes comme celles évoquées par Microsoft révèle que des efforts concertés peuvent temporiser les activités des hackers, bien que la lutte soit loin d’être gagnée d’avance.