Les chercheurs en cybersécurité de Kaspersky ont découvert des évolutions significatives dans les activités du groupe ToddyCat Advanced Persistent Threat (APT), mettant en lumière l’évolution des stratégies qu’il déploie et présentant un nouvel ensemble de loaders destinés à faciliter leurs opérations malveillantes. En outre, l’enquête a permis de découvrir une nouvelle série de logiciels malveillants distribués par ToddyCat, que l’acteur de la menace utilise pour collecter des fichiers d’intérêt qu’il exfiltre par la suite sur des plateformes d’hébergement de fichiers publics et légitimes. Ces découvertes dévoilent le poids croissant du cyber-espionnage dans le paysage des menaces, et la capacité d’adaptation des groupes APT pour échapper à la détection.
Tribune – ToddyCat, un groupe APT sophistiqué qui s’est d’abord fait connaître en décembre 2020 suite à une série d’attaques très médiatisées contre des organisations en Europe et en Asie, est toujours actif aujourd’hui et plus redoutable que jamais. Les premières analyses de Kaspersky à son sujet se sont d’abord intéressées aux principaux outils utilisés dans les campagnes menées par ToddyCat, à savoir le cheval de Troie Ninja, la porte dérobée Samurai, et les loaders utilisés pour lancer ces charges utiles malveillantes. Depuis, les experts de Kaspersky ont créé des signatures spéciales pour surveiller les activités malveillantes du groupe. L’une de ces signatures a été détectée sur un système et les chercheurs ont entamé une nouvelle enquête qui a conduit à la découverte des nouveaux outils de ToddyCat.
Au cours de l’année écoulée, les chercheurs de Kaspersky ont découvert une nouvelle génération de loaders développés par ToddyCat, soulignant les efforts incessants du groupe pour affiner ses techniques d’attaque. Ces dispositifs jouent un rôle essentiel pendant la phase d’infection, en permettant le déploiement du cheval de Troie Ninja. Il est intéressant de noter que ToddyCat remplace parfois les loaders standards par une variante personnalisée, adaptée à des systèmes cibles spécifiques. Cette version personnalisée présente des fonctionnalités similaires mais se distingue par son schéma de chiffrement unique, qui prend en compte des attributs spécifiques au système tels que le modèle de disque et le GUID (identificateur global unique) du volume.