Un acteur de menace d’origine russe a peut-être été attribué à un nouvel ensemble d’attaques ciblant le secteur de l’énergie au Kazakhstan.
L’activité, nommée Operation Barrelfire, est liée à un nouveau groupe de menaces suivi par Seqrite Labs en tant qu’ours bruyant. L’acteur de menace est actif depuis au moins avril 2025.
“La campagne est destinée aux employés de Kazmunaigas ou de KMG où l’entité de menace a livré un faux document lié au service informatique KMG, imitant la communication interne officielle et tirant parti des thèmes tels que les mises à jour politiques, les procédures de certification interne et les ajustements salariaux”, a déclaré le chercheur en sécurité Subhajeet Singha.
La chaîne d’infection commence par un e-mail de phishing contenant une pièce jointe à zip, qui comprend un téléchargeur de raccourci Windows (LNK), un document de leurre lié à Kazmunaigas et un fichier readme.txt avec des instructions écrites en russe et kazakh pour exécuter un programme nommé “Kazmunaygaz_Viewer”.
Le courriel, selon la société de cybersécurité, a été envoyé à partir d’une adresse e-mail compromise d’une personne travaillant au service des finances de Kazmunaigas et ciblé d’autres employés de l’entreprise en mai 2025.
La charge utile du fichier LNK est conçue pour supprimer des charges utiles supplémentaires, y compris un script par lots malveillant qui ouvre la voie à un chargeur PowerShell surnommé. Les attaques culminent avec le déploiement d’un implant basé sur DLL, un binaire 64 bits qui peut exécuter ShellCode pour lancer un shell inversé.
Une analyse plus approfondie de l’infrastructure de l’acteur de menace a révélé qu’elle était hébergée sur le fournisseur de services d’hébergement de balles (BPH) basé à Russie, AEZA Group, qui a été sanctionné par les États-Unis en juillet 2025 pour avoir permis d’activer des activités malveillantes.
Le développement intervient alors que Harfanglab a lié un acteur de menace aligné par le Bélarus connu sous le nom de Ghostwriter (AKA Frosyneighbor ou UNC1151) pour des campagnes ciblant l’Ukraine et la Pologne depuis avril 2025 avec des archives Rogue Zip et Rar qui visent à collecter des informations sur les systèmes compromis et le déploiement d’implants pour une nouvelle exploitation.
“Ces archives contiennent des feuilles de calcul XLS avec une macro VBA qui laisse tomber et charge une DLL”, a déclaré la société de cybersécurité française. “Ce dernier est responsable de la collecte d’informations sur le système compromis et de la récupération de logiciels malveillants à l’étage à proximité à partir d’un serveur de commande et de contrôle (C2).”
Il a été constaté que des itérations ultérieures de la campagne écrivent un fichier de cabinet Microsoft (CAB) avec le raccourci LNK pour extraire et exécuter la DLL de l’archive. La DLL procède ensuite à la reconnaissance initiale avant de supprimer les logiciels malveillants à la prochaine étape du serveur externe.
Les attaques ciblant la Pologne, en revanche, ajuster la chaîne d’attaque pour utiliser Slack comme mécanisme de bilan et canal d’exfiltration de données, téléchargeant en retour une charge utile de deuxième étape qui établit un contact avec les pestals de domaine[.]ICU.
Au moins dans un cas, la DLL a été abandonnée dans la feuille de calcul Excel macro-lacet.
“Ces changements mineurs suggèrent que l’UAC-0057 pourrait explorer des alternatives, dans une tentative probable de contourner la détection, mais priorise la continuité ou le développement de ses opérations sur la furtivité et la sophistication”, a déclaré Harfanglab.
Les cyberattaques signalées contre la Russie
Les résultats interviennent au milieu des attaques d’extorsion renouvelées d’Oldgremlin contre les entreprises russes au premier semestre de 2025, ciblant jusqu’à huit grandes entreprises industrielles nationales à l’aide de campagnes par e-mail de phishing.
Les intrusions, par Kaspersky, impliquaient l’utilisation de la technique Bring Your Own Vulnerable Driver (BYOVD) pour désactiver les solutions de sécurité sur les ordinateurs des victimes et l’interprète Node.js légitime pour exécuter des scripts malveillants.
Les attaques de phishing destinées à la Russie ont également livré un nouveau voleur d’informations appelé Phantom Stealer, qui est basé sur un voleur open-source nommé Stealerium, pour collecter un large éventail d’informations sensibles en utilisant des appâts par e-mail liés au contenu et aux paiements pour adultes. Il partage également des chevauchements avec une autre ramification du Stenerium connu sous le nom de Warp Stealer.
Selon F6, Phantom Stealer hérite également du module “porndector” de Stealerium qui capture des captures d’écran de webcam lorsque les utilisateurs visitent les sites Web pornographiques en gardant un œil sur la fenêtre du navigateur actif et si le titre comprend une liste configurable de termes comme le porno et le sexe, entre autres.
“Cela est probablement utilisé plus tard pour la” sextorsion “”, a déclaré Proofpoint dans sa propre analyse des logiciels malveillants. “Bien que cette caractéristique ne soit pas nouvelle dans les logiciels malveillants de la cybercriminalité, il n’est pas souvent observé.”
Au cours des derniers mois, les organisations russes ont également été à la fin des attaques perpétrées par des groupes de piratage suivis en tant que Cloud Atlas, Phantomcore et Scapy Wolf pour récolter des informations sensibles et fournir des charges utiles supplémentaires à l’aide de familles de logiciels malveillants telles que VBShower, Phantomrat et Phantomrshell.
Un autre groupe d’activités implique un nouveau malware Android qui se fait passer pour un outil antivirus créé par la Russie Federal Security Services Agency (FSB) pour distinguer les représentants des entreprises russes. Les applications portent des noms comme Security_FSB, фс (russe pour FSB) et GuardCB, dont le dernier est une tentative de faire passer la banque centrale de la Fédération de Russie.
Découverte pour la première fois en janvier 2025, les logiciels malveillants exfiltrent les données des applications Messenger et Browser, diffusent à partir de l’appareil photo du téléphone et enregistrent des touches en cherchant des autorisations étendues pour accéder aux messages SMS, emplacement, audio, caméra. Il demande également l’exécution en arrière-plan, les droits de l’administrateur de l’appareil et les services d’accessibilité.
“L’interface de l’application ne fournit qu’une seule langue – le russe”, a déclaré Doctor Web. “Ainsi, le malware est entièrement axé sur les utilisateurs russes. La porte dérobée utilise également les services d’accessibilité pour se protéger contre la suppression si elle reçoit la commande correspondante des acteurs de la menace.”
