Logiciel malveillant Stealth Soldier utilisé dans le cyberespionnage

En Afrique du Nord, une série d'attaques d'espionnage très ciblées ont été menées à l'aide d'une porte dérobée nouvellement développée appelée Stealth Soldier.

La société de cybersécurité Check Point, dans un rapport technique, a décrit Stealth Soldier comme une porte dérobée personnalisée qui fonctionne principalement à des fins de surveillance. Ses fonctions incluent l'extraction de fichiers, l'enregistrement des activités de l'écran et du microphone, l'enregistrement des frappes au clavier et le vol d'informations sur le navigateur.

L'opération en cours implique l'utilisation de serveurs de commande et de contrôle qui imitent les sites Web appartenant au ministère libyen des Affaires étrangères. Les premiers signes de cette campagne remontent à octobre 2022.

Les attaques commencent par des cibles potentielles téléchargeant de faux fichiers binaires de téléchargement par le biais de tactiques d'ingénierie sociale. Ces charges utiles intermédiaires servent de canal pour obtenir Stealth Soldier tout en affichant simultanément un fichier PDF leurre.

Stealth Soldier, un implant modulaire personnalisé, est censé être utilisé avec parcimonie. Il renforce les capacités de surveillance en collectant les listes de répertoires et les informations d'identification du navigateur, en capturant les frappes au clavier, en enregistrant l'audio à partir du microphone, en prenant des captures d'écran, en téléchargeant des fichiers et en exécutant des commandes PowerShell. Check Point a révélé que le logiciel malveillant utilise différents types de commandes, y compris des plug-ins téléchargés à partir du serveur de commande et de contrôle et des modules internes.

Stealth Soldier toujours activement mis à jour

La découverte de trois versions de Stealth Soldier suggère que les opérateurs le maintiennent et le mettent à jour activement.

Bien que certains composants du logiciel malveillant ne soient plus accessibles, les plugins de capture d'écran et de vol d'informations d'identification du navigateur auraient été inspirés par des projets open source trouvés sur GitHub.

De plus, l'infrastructure soutenant Stealth Soldier présente des similitudes avec l'infrastructure utilisée dans une précédente campagne de phishing appelée Eye on the Nile, qui ciblait des journalistes égyptiens et des militants des droits de l'homme en 2019.

Ce développement récent suggère la réémergence potentielle de l'acteur menaçant impliqué dans Eye on the Nile. Il indique que le groupe se concentre sur des activités de surveillance visant des entités égyptiennes et libyennes.