Les chercheurs d’ESET ont mis au jour une série de cyberattaques en Europe, s’étendant de mai 2022 à mars 2024. Ces attaques, ciblant notamment une organisation gouvernementale d’un pays de l’UE, ont utilisé des outils sophistiqués capables de compromettre des réseaux sans accès externes (isolés ou cloisonnés). ESET attribue cette campagne à GoldenJackal, un groupe APT spécialisé dans le cyberespionnage des entités gouvernementales et diplomatiques. L’analyse des outils a permis d’identifier une attaque antérieure de GoldenJackal en 2019 contre une ambassade d’Asie du Sud en Biélorussie. L’objectif présumé du groupe est l’exfiltration d’informations hautement sensibles, notamment depuis des systèmes non connectés à Internet. Ces découvertes ont été présentées par ESET Research lors de la conférence Virus Bulletin 2024.
Les réseaux hautement sensibles sont souvent isolés pour minimiser les risques de compromission. Cette pratique concerne notamment les systèmes critiques tels que les infrastructures de vote ou les systèmes de contrôle industriels des réseaux électriques. Paradoxalement, ces réseaux isolés attirent particulièrement les attaquants de haut niveau. La compromission de tels systèmes nécessite des ressources considérables, ce qui explique que les outils d’attaque pour réseaux isolés sont généralement l’apanage des groupes APT. L’objectif principal de ces attaques est l’espionnage.
Matías Porolli, chercheur chez ESET ayant analysé l’arsenal de GoldenJackal, explique : « En mai 2022, nous avons découvert un ensemble d’outils non attribuables. L’utilisation ultérieure par les attaquants d’un outil similaire à un malware déjà documenté nous a permis d’approfondir notre analyse. Nous avons ainsi établi un lien entre le toolkit public de GoldenJackal et ce nouvel ensemble d’outils. Cette piste nous a conduits à identifier une attaque antérieure utilisant le toolkit public, ainsi qu’un toolkit plus ancien capable également de cibler des systèmes isolés. »
GoldenJackal a ciblé des entités gouvernementales en Europe, au Moyen-Orient et en Asie du Sud. ESET a détecté des outils du groupe dans une ambassade d’Asie du Sud en Biélorussie en août-septembre 2019, puis en juillet 2021. Plus récemment, selon les données de la télémétrie d’ESET, une autre organisation gouvernementale européenne a été visée à plusieurs reprises entre mai 2022 et mars 2024
Le niveau de sophistication de GoldenJackal est remarquable. En l’espace de cinq ans, ce groupe APT a réussi à déployer deux toolkits distincts conçus pour compromettre des systèmes cloisonnés, démontrant ainsi une ingéniosité peu commune. Les attaques contre l’ambassade d’Asie du Sud en Biélorussie ont mobilisé des outils sur mesure, jusqu’ici uniques à cette opération. Cette campagne reposait sur trois composants principaux : GoldenDealer pour l’infection via USB des systèmes isolés, GoldenHowl, un backdoor modulaire multifonction, et GoldenRobo, dédié à la collecte et l’exfiltration de fichiers.
M. Porolli détaille le mode opératoire de GoldenDealer : “L’infection débute lorsqu’une victime insère une clé USB compromise dans un système isolé et exécute involontairement un malware déguisé en dossier. GoldenDealer s’installe alors et commence à collecter des informations sur le système isolé, les stockant sur la clé USB. Lorsque cette clé est ensuite insérée dans un PC connecté à Internet, GoldenDealer transfère ces données au serveur C2. Celui-ci répond en fournissant des exécutables à déployer sur le PC isolé. Lors de la prochaine insertion de la clé dans le système isolé, GoldenDealer récupère et exécute automatiquement ces fichiers, sans nécessiter d’interaction supplémentaire de la part de l’utilisateur.”
Dans sa campagne la plus récente visant une organisation gouvernementale de l’UE, GoldenJackal a effectué une transition stratégique. Le groupe est passé de son toolkit original à un nouvel ensemble d’outils hautement modulaire. Cette approche modulaire ne se limite pas aux malwares, mais s’étend également à la répartition des rôles au sein du réseau compromis. Les systèmes infectés sont ainsi spécialisés dans diverses tâches : collecte et traitement d’informations sensibles, distribution de fichiers, configurations et commandes vers d’autres systèmes, et exfiltration de données.
Source : Communiqué
