Proofpoint, l’un des leaders dans les domaines de la cybersécurité et de la conformité, dévoile les résultats de ses dernières recherches sur les activités du groupe de cybercriminel Molerats, aussi désigné TA402 par les chercheurs dédiés à la détection des menaces.

Les principales conclusions de cette étude sont les suivantes :

Les chercheurs de Proofpoint ont suivi TA402 depuis 2020 et estiment que l'acteur est un groupe basé au Moyen-Orient, opérant en soutien aux objectifs d'espionnage palestinien à travers la collection de renseignements. 

Le groupe cybercriminel utilise une chaîne d'infection complexe pour cibler les gouvernements du Moyen-Orient avec un nouveau téléchargeur d'accès initial que Proofpoint a baptisé IronWind.

De juillet à octobre 2023, TA402 a changé de méthode d’infection, en développant des techniques beaucoup plus complexes qui se déclinent en trois variantes – liens Dropbox, pièces jointes de fichiers XLL et pièces jointes de fichiers RAR – chaque variante conduisant systématiquement au téléchargement d'une DLL (Dynamic Link Library) contenant le logiciel malveillant multifonctionnel.

A la fin du mois d'octobre 2023, les chercheurs de Proofpoint n'avaient observé aucun changement dans le ciblage de TA402, un groupe qui a historiquement opéré dans l'intérêt des territoires Palestiniens, et n'avaient identifié aucune indication d'un mandat modifié malgré le conflit actuel dans la région. 

Il reste possible que cet acteur de la menace réoriente ses ressources en fonction de l'évolution des évènements.

Pour Joshua Miller, chercheur en cybersécurité chez Proofpoint, « Lorsqu'il s'agit d'acteurs de la menace alignés sur des États, la Corée du Nord, la Russie, la Chine et l'Iran se taillent généralement la part du lion.

Mais TA402, un groupe de menaces persistantes avancées (APT) du Moyen-Orient qui opère historiquement dans l'intérêt des territoires Palestiniens, s'est toujours révélé être un acteur intriguant capable d'un cyber-espionnage très sophistiqué axé sur la collecte de renseignements.

Le conflit en cours au Moyen-Orient ne semble pas avoir entravé leurs opérations, car ils continuent d'innover et d'utiliser de nouvelles méthodes de diffusion astucieuses pour contourner les efforts de détection.

En utilisant des chaînes d'infection complexes et en créant de nouveaux logiciels malveillants pour attaquer ses cibles, TA402 continue de mener des activités extrêmement ciblées en se concentrant sur les entités gouvernementales basées au Moyen-Orient et en Afrique du Nord ».