L’APT GoldenJackal espionne des entités diplomatiques au Moyen-Orient et en Asie du Sud

Kaspersky a découvert un nouveau groupe APT: baptisé GoldenJackal, le groupe est actif depuis 2019, mais ne communique pas publiquement, conservant ainsi largement son anonymat. L’enquête menée par les experts de Kaspersky a permis de déterminer que GoldenJackal cible généralement des entités gouvernementales et diplomatiques au Moyen-Orient et en Asie du Sud. 

Tribune – Les chercheurs de Kaspersky ont commencé à surveiller le groupe à partir de mi-2020, et constaté des activités régulières et consistantes, caractérisant un acteur compétent et relativement furtif. La principale particularité de ce groupe repose sur sa boîte à outils spécifique, destinée à contrôler les appareils des personnes et organisations ciblées, à se propager sur l’ensemble du réseau infecté à l’aide de disques amovibles, pour en extraire  certains fichiers sensibles, ce qui suggère que la motivation première de l’acteur est l’espionnage.

Comme le montre l’enquête de Kaspersky, l’acteur a utilisé de faux installateurs Skype et des documents Word malveillants comme vecteurs initiaux de ses attaques. Le faux installateur Skype est un fichier exécutable d’une taille d’environ 400 Mo. Il s’agit en fait d’un dropper contenant deux documents : le cheval de Troie JackalControl et un programme d’installation autonome légitime de Skype for business. La première utilisation de cet outil remonte à 2020. Un autre vecteur d’infection est un document malveillant qui utilise la technique d’injection de modèle à distance pour télécharger une page HTML malveillante, qui exploite la vulnérabilité Follina.

Source