Le 7 mai 2025, l’équipe Threat Intelligence de Google a annoncé que COLDRIVER, un groupe russe de cyber-espionnage, a développé une nouvelle souche de malware nommée « LOSTKEYS ». Ce malware marque la transition du groupe de tactiques de phishing traditionnelles à des attaques cybernétiques plus avancées.
Principales fonctionnalités du malware LOSTKEYS :
Exfiltration de données : LOSTKEYS est conçu pour voler des fichiers dans certaines extensions et répertoires des systèmes infectés.
Surveillance système : Le malware collecte des informations détaillées sur le système et surveille les processus en cours, transmettant ces données aux serveurs de COLDRIVER.
Déploiement sophistiqué :
Un site-appât présente un faux CAPTCHA à l’utilisateur.
Un script PowerShell est téléchargé dans le presse-papier de l’utilisateur.
Le script s’exécute pour récupérer la charge utile finale.
Le malware s’installe sur le système.
Google a identifié l’adresse IP « 165.227.148[.]68 » comme liée à cette activité malveillante. En réponse, l’entreprise a ajouté les sites compromis à sa fonction de navigation sécurisée.
Contexte de COLDRIVER :
COLDRIVER, également connu sous les noms Blue Callisto, BlueCharlie et Star Blizzard, est actif depuis au moins 2019. Le groupe est lié au Service fédéral de sécurité russe et vise des personnalités et organisations occidentales de premier plan, notamment des affiliés de l’OTAN, des ONG et des journalistes, pour collecter du renseignement.
Début 2025, COLDRIVER a ciblé des conseillers de gouvernements occidentaux, du personnel militaire et des personnes liées à l’Ukraine. En 2022, le groupe a infiltré trois laboratoires de recherche nucléaire américains et divulgué des courriels de l’ancien chef des services de renseignement britanniques Richard Dearlove et de figures pro-Brexit.
Implications :
L’apparition de LOSTKEYS souligne l’évolution des menaces posées par les acteurs cybernétiques parrainés par des États. Il est conseillé aux organisations gouvernementales et non gouvernementales de renforcer leur cybersécurité, de rester vigilantes face aux tentatives de phishing et de maintenir leurs systèmes à jour.