En 2018, les chercheurs de Kaspersky ont mis au jour une des APTs surveillées dans ce script qu’ils ont baptisée ‘DarkUniverse’. Ils ont publié cette semaine leurs découvertes sur DarkUniverse – un mystérieux framework de menace persistante avancée (APT) qui a été actif pendant au moins 8 ans, de 2009 à 2017, et utilisé pour des attaques ciblées. Les cibles de cette APT sont situées dans plusieurs pays d’Afrique et du Moyen-Orient, ainsi qu’en Russie et en Biélorussie. Le malware, propagé à l’aide de courriels malveillants, contenait des modules capables de collecter toutes sortes d’informations sur les cibles et les systèmes infectés, le tout sur une période étendue. Parmi les éléments collectés :

• Frappes de clavier
• Conversations par email
• Captures d’écran
• Fichiers de repertoires specifics
• Données de serveurs distants et ressources partagées utilisées par les victimes

Alexander Fedotov, analyste de malware chez Kaspersky, explique : « L’affaire DarkUniverse est étrange car les échantillons de 2017 que nous avons observés sont totalement différents des échantillons de 2009. Cela signifie que les attaquants disposaient de ressources suffisantes pour mettre le malware à jour. De plus, les points communs sur le code unique nous permet de dire avec un certain degré de confiance que les créateurs de DarkUniverse étaient connectés à ItaDuke, détecté pour la première fois en 2013. Cette APT utilisait des exploits PDF pour déposer un malware et des comptes Twitter pour stocker les URLs du serveur de commandes et de contrôle. La suspension des opérations de DarkUniverse pourrait faire suite à la fuite de données baptisée ‘Lost in Translation’, ou les attaquants ont peut-être simplement décidé de passer à des approches plus modernes ».