Les chercheurs en cybersécurité ont braqué les projecteurs sur une nouvelle vague de cyberattaques offensives visant des militants et des entités palestiniens à partir d’octobre 2021 environ en utilisant des e-mails de phishing à thème politique et des documents leurres.

Les intrusions font partie de ce que Cisco Talos appelle une campagne d’espionnage et de vol d’informations de longue date menée par le Groupe de piratage Arid Viper en utilisant un implant à base de Delphi appelé Micropsia datant de Juin 2017.

L’acteur de la menace Activitéségalement suivis sous les surnoms Desert Falcon et APT-C-23, ont été documentés pour la première fois en Février 2015 par Kasperksy et par la suite en 2017, lorsque Qihoo 360 a divulgué les détails de multiplateforme des portes dérobées développées par le groupe pour frapper les institutions palestiniennes.

La société russe de cybersécurité de marque Arid Viper est le « premier groupe APT exclusivement arabe ».

Puis en avril 2021, Meta (anciennement Facebook), qui pointait du doigt les affiliations du groupe à la branche cyber de Hamasa déclaré avoir pris des mesures pour expulser l’adversaire de sa plate-forme de distribution de logiciels malveillants mobiles contre des individus associés à des groupes pro-Fatah, les organisations gouvernementales palestiniennes, le personnel militaire et de sécurité et des groupes d’étudiants en Palestine.

Document leurre contenant du texte sur la réunification palestinienne

Le radeau de nouvelles activités s’appuie sur les mêmes tactiques et appâts documentaires utilisés par le groupe en 2017 et 2019, suggérant un « certain niveau de succès » malgré l’absence de changement dans leur outillage. Des fichiers leurres plus récents font référence à des thèmes de réunification palestinienne et de développement durable sur le territoire qui, une fois ouverts, conduisent à l’installation de Micropsia sur des machines compromises.

La porte dérobée est conçue pour donner aux opérateurs une gamme inhabituelle de contrôle sur les appareils infectés, y compris la possibilité de récolter des informations sensibles et d’exécuter des commandes transmises depuis un serveur distant, telles que la capture d’écrans, l’enregistrement du journal d’activité actuel et le téléchargement de charges utiles supplémentaires.

« Arid Viper est un excellent exemple de groupes qui ne sont pas très avancés sur le plan technologique, mais qui, avec des motivations spécifiques, deviennent de plus en plus dangereux à mesure qu’ils évoluent avec le temps et testent leurs outils et procédures sur leurs cibles », ont déclaré les chercheurs Asheer Malhotra et Vitor Ventura. .

« Ces [remote access trojans] peut être utilisé pour établir un accès à long terme aux environnements des victimes et déployer en outre davantage de logiciels malveillants destinés à l’espionnage et au vol d’informations et d’informations d’identification.