Deux groupes APT ciblent l'Inde : Transparent Tribe et IcePeony intensifient leurs cyberattaques sophistiquées

Le groupe APT pakistanais Transparent Tribe et un nouvel acteur chinois baptisé IcePeony ont lancé des campagnes d'espionnage sophistiquées ciblant principalement des entités gouvernementales indiennes. Transparent Tribe déploie deux malwares principaux : ElizaRAT, un outil d'accès à distance, et ApoloStealer, un nouveau voleur de données, en exploitant des services cloud légitimes comme Telegram, Google Drive et Slack pour leurs communications command-and-control (C2). Les chercheurs de Check Point ont identifié trois campagnes distinctes entre décembre 2023 et août 2024, marquées par l'évolution des tactiques du groupe pour inclure un nouveau composant "dropper" facilitant le déploiement d'ElizaRAT. Le groupe a également étendu ses capacités avec ConnectX, un module conçu pour extraire des données des périphériques USB externes, démontrant une approche plus modulaire et flexible dans leurs opérations.

Parallèlement, IcePeony, un groupe APT d'origine chinoise récemment découvert, cible des agences gouvernementales, des institutions académiques et des organisations politiques en Inde, à Maurice et au Vietnam depuis 2023. Leurs attaques commencent typiquement par des injections SQL, suivies de l'utilisation de webshells et de backdoors, notamment IceCache, un malware personnalisé ciblant les serveurs Microsoft IIS. Les chercheurs ont noté un schéma d'activité professionnel, avec des opérations régulières six jours par semaine, suggérant une structure organisée.

L'utilisation croissante de services cloud légitimes par ces groupes APT pose un défi majeur pour la détection, car leurs activités malveillantes se confondent avec le trafic légitime de l'entreprise. Cette évolution tactique, combinée à l'expansion des capacités malveillantes et à la diversification des cibles, souligne l'importance cruciale d'une approche de défense multicouche, incluant la surveillance avancée du trafic cloud et la protection contre les menaces persistantes avancées.

La sophistication croissante de ces attaques, particulièrement leur adaptation aux environnements Linux suite à l'adoption par le gouvernement indien du système d'exploitation Maya OS, démontre la nécessité d'une vigilance accrue et d'une stratégie de sécurité adaptative. Les organisations doivent renforcer leurs défenses contre les attaques de spear-phishing, principale méthode d'infection, tout en mettant en place des systèmes robustes de détection et de réponse aux menaces persistantes avancées.

Source : The Hacker News