Les chercheurs de Kaspersky ont dévoilé des informations supplémentaires sur la campagne CommonMagic, mettant au jour des activités malveillantes de plus en plus sophistiquées. L’enquête a permis d’identifier un élargissement des cibles de CommonMagic, qui inclut désormais dans sa victimologie des organisations basées en Ukraine centrale et occidentale, en plus des entreprises établies dans la zone du conflit russo-ukrainien. Les experts de Kaspersky ont également établi un lien entre le nouvel acteur et des campagnes APT antérieures, telles que les opérations BugDrop et Groundbai (Prikormka).
Tribune – En mars 2023, Kaspersky a alerté au sujet d’une nouvelle campagne APT en cours dans la zone de conflit russo-ukrainienne. Cette campagne, baptisée CommonMagic, utilise les implants PowerMagic et CommonMagic pour mener des activités d’espionnage. Active depuis septembre 2021, elle utilise un logiciel malveillant non identifié pour collecter des données auprès d’entités ciblées. Bien que l’acteur de la menace responsable de cette attaque n’ait pas été connu à l’époque, les experts de Kaspersky ont poursuivi leur enquête et remonté le fil d’activités non attribuées jusqu’à trouver des liens avec des campagnes oubliées afin de recouper au mieux les renseignements à leur disposition.
La campagne récemment découverte emploie le cadre modulaire CloudWizard. Les recherches de Kaspersky ont permis d’identifier un total de 9 modules au sein de ce cadre, chacun d’eux étant à l’origine d’activités malveillantes distinctes (collecte de fichiers, enregistrement de frappe, capture d’écran, enregistrement des données du microphone et vol de mots de passe). L’un des modules se concentre notamment sur le détournement de données de comptes Gmail. En extrayant les cookies Gmail des bases de données enregistrées sur le navigateur, ce module peut accéder aux journaux d’activité, aux listes de contacts et à tous les messages électroniques associés aux comptes ciblés et les faire passer en contrebande, et les détourner .