Entre application de cartographie et logiciel malveillant, une opération d'espionnage sophistiquée vise les forces ukrainiennes via Telegram. Sous couvert d'un canal baptisé « Civil Defense », des acteurs présumés russes diffusent des malwares ciblant aussi bien les appareils Windows qu'Android.
L'application Telegram (qui, malgré les controverses, atteint des sommets en termes de popularité) continue d'être instrumentalisée dans le conflit russo-ukrainien, comme en témoignent les récentes découvertes d'experts en cybersécurité. Une nouvelle menace, un groupe baptisé UNC5812 par les analystes, apparaît comme particulièrement élaborée. Il use d'une stratégie hybride qui mêle manipulation psychologique et infiltration numérique, dévoilée conjointement par les équipes de Google's Threat Analysis Group (TAG) et Mandiant.
L'apparence trompeuse d'un service citoyen
Derrière une façade d'utilité publique se cache une opération cyber savamment orchestrée. Le groupe UNC5812 opère via un canal Telegram créé le 10 septembre 2024, «civildefense_com_ua », qui comptabilise à ce jour 184 abonnés. Son site web associé, « civildefense.com[.]ua », a été enregistré quelques mois plus tôt, le 24 avril 2024. La plateforme se présente comme un service gratuit permettant aux potentiels conscrits de visualiser et de partager les emplacements des recruteurs militaires ukrainiens via une application collaborative.
Une couverture d'autant plus efficace que plusieurs canaux Telegram ukrainiens établis et légitimes ont relayé l'existence de ce service, lui conférant ainsi une apparence de crédibilité auprès du public ciblé. Les visiteurs sont par la suite systématiquement redirigés vers le site web du groupe, point de départ de l'infection par des logiciels malveillants spécifiquement adaptés à leur système d'exploitation.
Une infection sur mesure
L'arsenal malveillant déployé par UNC5812 révèle une architecture sophistiquée, adaptée au système d'exploitation de chaque victime. Sur Windows, l'infection s'opère via une archive ZIP contenant un nouveau chargeur de logiciels malveillants en PHP (un langage relativement facile à apprendre), baptisé Pronsis. Ce dernier injecte simultanément SUNSPINNER, une fausse application de cartographie, et PureStealer, un logiciel d'extraction de données vendu sur le marché noir (150 dollars pour un abonnement mensuel et 699 dollars pour une licence à vie).
Les utilisateurs Android sont, quant à eux, ciblés par une application malicieuse (identifiée sous le nom de package « com.http.masters ») dissimulant CraxsRAT. Un acronyme pour CRacking Android RAT (Rat signifiant « Rat » en anglais, un terme couramment utilisé pour désigner les « Remote Access Trojans »). C'est un type de malware particulièrement dangereux conçu spécifiquement pour les appareils Android. Ce Cheval de Troie permet ensuite une prise de contrôle totale de l'appareil touché : enregistrement des frappes au clavier et des gestes tactiles, capture des communications, des écrans et même des appels.
Le site web accompagne même ses utilisateurs Android avec des instructions vidéo détaillées pour désactiver Google Play Protect et accorder toutes les autorisations requises, permettant ainsi au malware de fonctionner sans entrave. Dans sa FAQ, le site tente même de justifier l'hébergement de l'application en dehors du Play Store, prétextant vouloir « protéger l'anonymat et la sécurité » de ses utilisateurs. Plutôt ironique…
Fait notable, le site prétend également proposer des versions pour macOS et iPhone, bien qu'aucun logiciel malveillant ne soit encore disponible pour ces plateformes. Cette campagne, sans grande surprise, s'inscrit dans la continuité des tactiques russes observées depuis le début du conflit, où les frontières entre guerre psychologique et cyberattaques s'estompent progressivement. Cette approche, dite de « guerre hybride », permet au pays de démultiplier les effets de ses actions tout en minimisant les risques d'une confrontation directe.
Source : The Hacker News
