Le Threat Analysis Group (TAG) de Google a alerté, le 18 janvier 2024, sur une campagne de spear phishing en cours, menée par le groupe pro-russe Coldriver. Affilié au FSB (le service de renseignement intérieur de la fédération de Russie), le groupe cybercriminel est un spécialiste de cette technique d’hameçonnage. Le spear phishing s’appuie sur l’usurpation d’identité de personnes de confiance d’une cible, et implique donc un haut niveau de personnalisation.
Lancée en novembre 2023, la campagne vise des membres d’ONG et de la société civile, ainsi que d’anciens responsables du renseignement, de la défense ou de gouvernement, dans des pays de l’OTAN. Elle consiste en l’envoi, via des adresses mail appartenant à des proches des cibles, de PDF parfaitement inoffensifs.
« Coldriver présente ces fichiers comme un nouvel article que la personne usurpée voudrait publier, sollicitant les commentaires de la cible. Lorsque l’utilisateur ouvre le PDF inoffensif, le texte apparaît chiffré pour des raisons de pseudo-sécurité », indique le TAG de Google. Les cybercriminels envoient alors à leur victime un prétendu outil de déchiffrement, baptisé « Proton-decrypter.exe ».
Ce nom laisse entendre un lien avec Protonmail, célèbre service de messagerie sécurisé, utilisé par de nombreux chercheurs, journalistes ou dissidents. Il vise à inspirer de la confiance à une cible ayant une bonne hygiène numérique. Le déchiffreur contient en fait une porte dérobée codée en Rust, Spica, qui permet de voler des cookies et des données, et d’exécuter des commandes sur la machine infectée.