Les hackers russes auraient-ils du mal à innover ? Dernièrement, le groupe Cozy Bear, également connu sous le nom d’APT29, a renouvelé ses méthodes en utilisant des campagnes de phishing ciblées contre des diplomates européens.
Une attaque classique...
Depuis janvier 2025, le cabinet Check Point Research, spécialisé dans l'analyse des risques de cybersécurité, a détecté une vague d’attaques visant principalement les diplomates européens. Ces campagnes s’appuient sur une ruse classique, mais toujours aussi efficace : le phishing.
Le groupe de pirates russes APT29 a ainsi procédé à l’envoi d’e-mails semblant provenir en apparence d’un ministère des Affaires étrangères européen. Dans ce message : une invitation à un événement de dégustation de vin. Et ce n'est pas la première fois. Une campagne similaire avait été orchestrée en février 2024.
Comme à chaque attaque de ce type, la cible est incitée à cliquer sur un lien malveillant, ici, pour confirmer sa présence. Selon les analystes de Check Point, ce lien mène à un serveur sécurisé, conçu pour ne déclencher l’infection que sous certaines conditions, rendant la détection automatique difficile.
Une fois le lien cliqué, l’utilisateur télécharge une archive nommée wine.zip. Celle-ci contient un fichier PowerPoint modifié, wine.exe, exploité pour charger un malware nommé Grapeloader.dll. Ce dernier s’installe discrètement sur la machine, modifiant le registre pour assurer sa persistance et collectant des informations telles que le nom d’utilisateur, le nom de l’ordinateur ou encore le processus en cours. Ces données sont ensuite transmises à un serveur de commande et de contrôle, permettant aux hackers d’adapter leur attaque en temps réel.
...avec un malware qui évolue
Grapeloader.dll utilise des méthodes avancées pour échapper aux détections classiques comme l'obfuscation du code et l'insertion d’instructions inutiles. Son rôle principal est de déployer un autre malware, Wineloader, déjà connu pour ses capacités modulaires et sa furtivité.
Non seulement Wineloader chiffre les communications avec le serveur de commande et de contrôle, il dispose surtout d'un code capable de s'auto-modifier et utilise des techniques de mémoire protégée pour éviter d'être démasqué.
Le groupe APT29 a déjà été impliqué dans des opérations majeures comme l’attaque SolarWinds ayant frappé le Trésor et le département du Commerce aux États-Unis en janvier 2021. Précédemment, des campagnes organisées avaient été orchestrées ciblant le Comité national démocrate, le Département d’État américain et la Maison-Blanche, avant l’élection présidentielle américaine de 2016.
