Acteur de la menace Star Blizzard : une force de cyberespionnage persistante

WhatsApp Hoax

Une autre tactique dans une campagne cybernétique en cours

Alors que le paysage des cybermenaces continue d’évoluer, un nom revient fréquemment dans les discussions sur les activités d’espionnage en ligne : Star Blizzard. Cet acteur de la menace, qui serait lié aux opérations russes, s’est traditionnellement concentré sur la collecte d’identifiants. Récemment, cependant, ses méthodes ont changé, avec une autre campagne ciblant les comptes WhatsApp au moyen de techniques sophistiquées de spear-phishing. Cette adaptation suggère une tentative d’éviter d’être détecté et de maintenir l’accès à des informations sensibles.

Les objectifs des opérations de Star Blizzard

Star Blizzard, auparavant connu sous plusieurs pseudonymes tels que SEABORGIUM et BlueCharlie, est actif depuis plus d’une décennie. Ses principales cibles sont les individus et les organisations engagés dans le gouvernement, la diplomatie, la politique de défense et les relations internationales, en particulier ceux qui se concentrent sur les affaires russes et les efforts d’assistance liés à l’Ukraine. Les chercheurs, les journalistes et les ONG font également partie des personnes touchées par ses activités.

L'objectif ultime de ce groupe est d'infiltrer les communications, d'extraire des données sensibles et d'obtenir des renseignements stratégiques. En compromettant les identifiants et en interceptant les conversations, Star Blizzard vise à maintenir un accès permanent à ses cibles, permettant ainsi de collecter davantage de données et d'éventuelles opérations d'influence.

Comment opère l'acteur de la menace

Les premières campagnes de Star Blizzard consistaient principalement en des e-mails de spear-phishing destinés à inciter les destinataires à révéler leurs identifiants de connexion. En général, ces e-mails provenaient de comptes enregistrés sur des services de messagerie sécurisés comme ProtonMail. Les messages incluaient des liens menant à des pages trompeuses créées à l'aide de tactiques d'attaques par adversaire du milieu (AiTM), permettant aux attaquants d'intercepter les informations de connexion et les codes d'authentification à deux facteurs (2FA).

Lors des attaques précédentes, Star Blizzard a également utilisé des services de marketing par e-mail légitimes tels que HubSpot et MailerLite pour masquer l'identité des expéditeurs et contourner les filtres de sécurité. Cette approche leur a permis de diffuser des messages trompeurs sans s'appuyer sur des domaines directement liés à l'opération.

Ces efforts ont été considérablement perturbés lorsque Microsoft et le ministère américain de la Justice ont pris des mesures pour saisir plus de 180 domaines associés à l'acteur malveillant. Ces domaines avaient été utilisés pour faciliter les attaques contre des cibles de premier plan de janvier 2023 à août 2024. Cependant, cette perturbation n'a pas marqué la fin des activités de Star Blizzard ; elle a plutôt incité le groupe à affiner ses tactiques.

Le passage à l'exploitation de WhatsApp

Fin 2024, des rapports ont indiqué que Star Blizzard avait élargi ses techniques pour inclure le piratage de comptes WhatsApp. Cela a marqué un changement significatif par rapport à ses méthodes précédentes et a souligné la capacité d'adaptation du groupe.

La campagne a commencé par des courriels de phishing se faisant passer pour des communications de responsables du gouvernement américain. Ces courriels contenaient des codes QR prétendant inviter les destinataires à rejoindre un groupe WhatsApp dédié au soutien des initiatives humanitaires. Les codes QR ont été délibérément brisés, incitant les destinataires à répondre au courriel pour obtenir de l'aide.

Une fois que le destinataire a répondu, il a reçu un message secondaire le dirigeant vers un lien raccourci. En cliquant sur ce lien, il a été redirigé vers une page Web affichant un code QR conçu pour connecter des comptes WhatsApp à des appareils supplémentaires. En scannant ce code, les victimes ont accordé sans le savoir à Star Blizzard un accès non autorisé à leurs comptes WhatsApp, exposant potentiellement des conversations privées et des informations sensibles.

Les implications des activités de Star Blizzard

L’évolution des tactiques de Star Blizzard met en évidence la menace persistante que représentent les groupes de cyberespionnage. Le ciblage d’entités gouvernementales et diplomatiques indique un effort continu pour recueillir des renseignements qui pourraient être exploités à des fins géopolitiques. En outre, l’utilisation de WhatsApp comme vecteur d’attaque soulève des inquiétudes quant à la sécurité des plateformes de communication largement utilisées par les professionnels et les organisations.

Bien que cette campagne particulière semble devoir se terminer fin novembre 2024, le changement de stratégie démontre la capacité d'adaptation du groupe. La capacité à adopter de nouvelles méthodes lorsque les opérations existantes sont perturbées garantit que Star Blizzard reste une menace cybernétique redoutable.

Renforcer les défenses contre les attaques ciblées

Il est conseillé aux personnes opérant dans des secteurs fréquemment ciblés par Star Blizzard de rester vigilantes. Reconnaître les signes distinctifs des e-mails de spear-phishing, vérifier les communications inattendues et éviter les interactions avec des codes QR ou des liens raccourcis non sollicités peuvent contribuer à réduire l'exposition à de telles menaces.

Les professionnels de la sécurité recommandent également d’activer l’authentification multicouche lorsque cela est possible, en particulier pour les comptes qui traitent des communications sensibles. Alors que les acteurs malveillants affinent leurs techniques, des mesures proactives restent essentielles pour protéger les actifs numériques et les communications contre tout accès non autorisé.

Réflexions finales

Les activités en cours de Star Blizzard nous rappellent la nature évolutive des cybermenaces. La capacité du groupe à changer de tactique en réponse aux perturbations souligne l'importance d'une vigilance continue et de stratégies de sécurité adaptatives. Alors que les forces de l'ordre et les entreprises de cybersécurité s'efforcent d'atténuer ces menaces, les organisations et les individus doivent rester proactifs pour identifier et contrer les campagnes sophistiquées de cyberespionnage.

Par Willa
January 17, 2025
Android Malware, Phishing
Français
January 17, 2025
Android Malware, Phishing

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.