Le groupe APT TA397 (également connu sous le nom de Bitter) cible depuis plusieurs semaines une organisation Turque avec une campagne de phishing utilisant pour leurre un projet de financement de la Banque mondiale à Madagascar pour le développement d’infrastructures, un thème récurrent du groupe qui cible régulièrement des entités publiques.

Voici les principales conclusions des chercheurs de Proofpoint :

• La chaîne d’attaque utilise des flux de données alternatifs contenus dans une archive RAR pour diffuser un fichier raccourci (LNK) afin de créer une tâche planifiée sur la machine cible et ainsi télécharger d’autres charges utiles.

Fig. Illustration de la chaîne d’attaque TA397.

• Les observations de Proofpoint montrent que le groupe TA397 diffuse manuellement les familles de logiciels malveillants WmRAT et MiyaRAT aux dernières étapes de la chaîne d’attaque. Ces deux familles sont notamment conçues pour permettre la collecte et l’exfiltration de renseignements.
• Les campagnes de TA397 ont très probablement pour objectif de collecter de l’information pour un gouvernement sud-asiatique.

Les chercheurs de Proofpoint précisent : « Ce thème est très courant pour le groupe TA397 puisque la majorité des organisations qu’ils ciblent appartiennent au secteur public ou reçoivent des investissements publics, il est révélateur de la nature ciblée de leurs campagnes. De même, l’utilisation d’archives RAR est une tactique reconnue du groupe pour la livraison de la charge utile. Tout au long du premier semestre 2024, Proofpoint l’avait déjà observé utiliser des fichiers d’aide compilés Microsoft (CHM) dans des archives RAR comme moyen de créer des tâches planifiées sur les machines cibles. »