Dans le radar de Proofpoint depuis 2017, ce groupe ne semble pas relâcher la pression sur ses cibles, avec des campagnes régulières visant différentes régions du monde, dont l’Europe.

TA2541 est donc une menace persistante dans le paysage cybercriminel, avec pour spécificité notamment de distribuer des pièces jointes Microsoft Word chargées de macros permettant de télécharger la charge utile d’un trojan d’accès à distance (RAT), qui pourrait permettre de prendre le contrôle total de l’appareil visé à distance.

Dans les dernières campagnes analysées, le groupe semble avoir légèrement changé de cap, avec des messages contenant des liens vers des services cloud tels que Google Drive, qui hébergent la charge utile.

Selon Sherrod DeGrippo Directrice menaces émergentes chez Proofpoint : « Les acteurs de la menace utilisent souvent des tactiques variées pour échapper aux mesures de détection et tromper les victimes afin qu’elles cliquent sur un lien malveillant ou téléchargent des logiciels malveillants. Ce qui est notable avec le groupe TA2541, c’est qu’il a très peu changé son approche au cours des cinq dernières années, utilisant à plusieurs reprises des chevaux de Troie d’accès à distance pour prendre le contrôle d’appareils. Cette constance est leur marque de fabrique, et elle a fait d’eux une menace persistante pour les acteurs des secteurs de l’aviation, de l’aérospatial et des transports. »