APT36 frappe l’Inde : des cyberattaques furtives infiltrent chemins de fer et énergie

14 avril 2025 cybersécurité
cyberattaques ia
cyberattaques ia

Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au Pakistan, avec une série d’attaques ciblées contre des entités stratégiques en Inde. Ces opérations reposent sur l’usage de malwares puissants comme CurlBack RAT, Spark RAT et une version modifiée de Xeno RAT.

Les cybercriminels ont orienté leurs offensives vers les secteurs des chemins de fer, de l’énergie et des affaires étrangères. Cette escalade témoigne d’un élargissement des cibles, autrefois limitées à la défense et à l’éducation.

Phishing et ingénierie sociale

Les attaques commencent par des campagnes de phishing soigneusement élaborées. Les e-mails frauduleux intègrent des pièces jointes déguisées en documents officiels — par exemple, une liste de congés pour les employés des chemins de fer ou des circulaires de sécurité de l’entreprise HPCL. Ces fichiers truffés de code malveillant permettent l’installation silencieuse des RAT.

Des malwares furtifs et évolutifs

  • CurlBack RAT : ce malware espionne les systèmes, télécharge des fichiers, exécute des commandes à distance et collecte les identifiants utilisateurs.

  • Spark RAT : multiplateforme (Windows & Linux), il renforce la capacité du groupe à s’adapter à divers environnements informatiques.

  • Xeno RAT : sa version personnalisée inclut des mécanismes avancés d’obfuscation et de persistance.

Attribution aux groupes SideCopy & Transparent Tribe

Ces attaques sont attribuées à SideCopy, un sous-groupe d’APT36 (aussi appelé Transparent Tribe), actif depuis 2019. SideCopy est connu pour imiter les techniques de SideWinder afin de dissimuler ses propres attaques.

Leurs outils malveillants incluent également :

  • Action RAT & ReverseRAT : pour le contrôle à distance.

  • Cheex & USB Copier : pour l’exfiltration de documents et données locales.

  • Geta RAT : un malware .NET capable de traiter plus de 30 commandes.

En résumé :

🚨 APT36, un groupe de cyberespionnage affilié au Pakistan, intensifie ses attaques en ciblant des infrastructures critiques en Inde, notamment les chemins de fer et le secteur de l’énergie. Ces opérations sophistiquées utilisent des malwares furtifs tels que CurlBack RAT, Spark RAT et une version modifiée de Xeno RAT, déployés via des campagnes de phishing élaborées, exploitant des documents officiels piégés pour infiltrer les systèmes.

🔐 Face à ces menaces avancées, Probe I.T., expert en cybersécurité basé à Montpellier, propose des solutions adaptées pour protéger votre organisation :

  • Audit Vision360 : une évaluation complète de votre posture de sécurité pour identifier les vulnérabilités et renforcer vos défenses.

  • Formation Prevento : des sessions de sensibilisation pour vos équipes afin de détecter et prévenir les tentatives de phishing et autres attaques sociales.

  • Surveillance Horus : une veille continue pour détecter les activités suspectes et réagir rapidement aux incidents de sécurité.

🎯 Ne laissez pas votre entreprise devenir la prochaine cible. Avec Probe I.T., bénéficiez d’une expertise indépendante et d’une approche pédagogique pour naviguer sereinement dans un paysage numérique en constante évolution.

🔗 Liens utiles :