Actu
Recherche Proofpoint : nouvelle campagne de phishing aux EAU exploitant la supplychain
mars 2025 par Proofpoint, Inc.
Les chercheurs de Proofpoint dévoilent une nouvelle campagne de phishing ciblant des entreprises des Émirats Arabes Unis (EAU), notamment dans les secteurs de l’aviation, des communications par satellite, et des infrastructures de transport essentielles.
Les messages malveillants reçus par les cibles utilisaient des leurres personnalisés, envoyés depuis une entité compromise entretenant une relation commerciale de confiance, pour distribuer un malware polyglotte et multi-étapes. Des fichiers peu courants, dont le format peut être interprétés différemment selon l’outils d’analyse utilisé grâce à des particularités spécifiques au format ou en-têtes.
Les principales conclusions de la recherche sont les suivantes :
• Fin octobre 2024, le groupe à l’origine, connu sous le nom de UNK_CraftyCamel, a exploité un compte de messagerie compromis de la société indienne d’électronique INDIC Electronics, pour envoyer des courriels malveillants, à des organisations aux AEU. Ces courriels contenaient des URL pointant vers le domaine contrôlé par l’acteur, indicelectronics.net, imitant le domaine légitime d’INDIC Electronics.
• Cette campagne utilise des fichiers ZIP qui exploitait plusieurs fichiers polyglottes pour finalement installer une porte dérobée, nouvellement découverte et baptisée Sosano par les chercheurs de Proofpoint. Cette dernière exploite de nombreuses techniques, dont les fichiers polyglottes, pour masquer le malware et sa charge utile.
• Proofpoint continue de surveiller activement l’activité de ce nouveau groupe. À ce stade, aucun recoupement n’a été possible avec un autre groupe déjà identifié et suivi par Proofpoint. Le faible volume, la nature hautement ciblée de la campagne et les nombreuses tentatives de masquer le malware indiquent un adversaire avec un mandat clair. L’analyse plus large de l’infrastructure indique également de possibles liens avec des groupes étatiques, alignés sur l’Iran et suivis par des partenaires de confiance.
« Cette campagne est un exemple typique d’attaque d’acteurs exploitant des relations de confiance avec un fournisseur ou partenaire pour distribuer des logiciels malveillants personnalisés et masqués à des cibles très sélectives. Les acteurs de menaces avancées ciblent spécifiquement ces tiers de confiance, bien souvent des fournisseurs en amont, et interagissent fréquemment avec leurs clients pour mener leurs campagnes ; cela leur permet de compromettre la chaîne d’approvisionnement, réduisant les risques de détection initiale de tentatives de phishing. » indiquent les chercheurs de Proofpoint.
