Une campagne d'ingénierie sociale axée sur les conflits diffuse des RAT à travers l'Europe de l'Est
17 octobre 2025
Par Samantha Clarke et l'équipe de recherche sur les menaces de Mimecast
- Le groupe MCTO1025, également connu sous le nom d'UCA-005, est un groupe de cybercriminels qui mène depuis un an une campagne soutenue ciblant l'Ukraine, la Roumanie et la Moldavie à partir d'une infrastructure dotée d'un single numéro ASN.
- Campagnes sophistiquées d'ingénierie sociale se faisant passer pour les services de sécurité ukrainiens et russes, les plans d'évacuation et les communications relatives à la mobilisation militaire
- Une intrusion notable sur la chaîne moldave TV8, utilisée en janvier 2024 à des fins d'autopromotion et d'opérations de désinformation
- Des campagnes de recrutement proposant aux "un passage sûr" vers la Russie, destinées à faciliter les opérations de blanchiment d'argent et la collecte de renseignements
- Malware distribution focuses on commodity Remote Access Trojans including QasarRAT, RemoteUtilities, RemcosRAT, and RuRAT
- Parmi les dernières évolutions de la campagne, on note le déploiement du chargeur AnonVNC en se faisant passer pour les services de sécurité ukrainiens
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast continue de surveiller l'activité malveillante persistante menée depuis 2023 par le MCTO1025, un groupe de cybercriminels qui mène des opérations régulières visant l'Ukraine et les pays voisins, à savoir la Roumanie et la Moldavie. Cette opération témoigne d'une compréhension approfondie des tensions géopolitiques régionales et s'appuie sur des thèmes liés aux conflits pour obtenir des taux d'engagement élevés de la part des victimes au sein des populations ciblées. Les opérations MCTO1025 englobent diverses stratégies d'ingénierie sociale visant à tirer parti de la situation de conflit actuelle et des problèmes humanitaires qui y sont liés.
Parmi les thèmes de cette campagne figurent l'usurpation d'identité des services de sécurité ukrainiens et russes, la diffusion de faux plans d'évacuation en cas de frappes aériennes, des communications frauduleuses relatives à la mobilisation militaire, ainsi que des propositions de passage en toute sécurité hors des zones de conflit.
Campagnes marquantes de 2024
Piratage de TV8 Moldova
Début janvier 2024, le compte de messagerie de la chaîne de télévision moldave TV8 a été piraté et utilisé pour envoyer des e-mails dont l'objet était « Communiqué de presse de TV8 - Пресс - Релиз от телекомпании TV8 », proposant une interview du fondateur d'un groupe. Traduite de l'original russe, l'explication suivante a été publiée sur mediacritica.md : [La messagerie électronique officielle de TV8 a été victime d'une cyberattaque. Commentaire de la chaîne de télévision - Mediacritica ]
Dans la nuit du 8 au 9 janvier, la messagerie électronique officielle de TV8 a été victime d'une cyberattaque. Selon ce média, les auteurs de l'attaque, agissant au nom de la chaîne de télévision, ont envoyé un message à plusieurs personnes et organismes, indiquant qu'un journaliste de la rédaction du site Tv8.md avait interviewé le fondateur du groupe de hackers DaVinci Group-DVG8873, qui se présente comme une cyberforce indépendante " opposée à l'Ukraine et aux pays de l'OTAN." Dans une déclaration à Mediacritica, la rédactrice en chef de TV8, Mariana Rață, a souligné que ce n'était pas la première fois que les médias moldaves faisaient l'objet de cyberattaques.
D'après les vérifications effectuées par les techniciens de TV8, l'attaque a été lancée à partir d'une adresse IP gérée depuis un serveur situé à Amsterdam, aux Pays-Bas. "La société d'hébergement appartient à la société britannique Aeza International LTD, fondée par un ressortissant du Kazakhstan, Marat Timurov. Aeza International est l'un des hébergeurs les plus populaires de Russie et est présentée sur plusieurs sites spécialisés comme une entreprise russe. TV8 a contacté cette entreprise pour lui demander de fournir des informations sur les utilisateurs de l'adresse IP à partir de laquelle la cyberattaque a été perpétrée, mais nous n'avons pas encore reçu de réponse, a déclaré Mariana Rață, de l'"
Selon cette source, « la même nuit, la messagerie électronique de la société publique Moldelectrica a également fait l'objet d'une cyberattaque similaire. » « Ce même SMS a été envoyé depuis l'adresse e-mail professionnelle de Moldelectrica. »
Les campagnes de harcèlement en ligne, le piratage de comptes sur les réseaux sociaux, les attaques DDoS (déni de service distribué) ou le Phishing ne sont que quelques-unes des menaces numériques auxquelles est confrontée la presse en République de Moldavie, selon une étude publiée par l'Independent Journalism Center. Les représentants de plusieurs médias concernés par cette étude ont indiqué qu'en 2023, notamment en août et en septembre, leurs sites web avaient été la cible d'attaques DDoS, provoquant des blocages qui ont duré de quelques minutes à plusieurs heures.
Veaceslav Perunov, responsable du portail SP.md, a confirmé que le média qu'il dirige avait été victime d'attaques DDoS en août 2023, période durant laquelle plusieurs médias ont été simultanément touchés par ce phénomène. « Le site a été indisponible, mais pas très longtemps. » « Notre serveur a tenu le coup », a déclaré M. Perunov. Renata Lupachescu, rédactrice en chef du portail Studio-L, a évoqué l'attaque survenue en septembre 2023 : « Nous avons été victimes d'une attaque DDoS ; le site a été mis hors service et n'a pas fonctionné pendant environ quatre heures, puis nous avons résolu le problème. » En octobre-novembre 2023, Nokta.md a été victime d'attaques DDoS à quatre ou cinq reprises, et TV8 a été victime de telles attaques à trois reprises
Un passage en toute sécurité vers la Russie
Plus tard au mois de janvier 2024, le groupe a commencé à envoyer des e-mails en se faisant passer pour des agents du FSB, proposant un « passage sûr » vers la Russie en échange de « missions anonymes à accomplir contre une rémunération ». [Ce type de « mission » est presque toujours lié au recrutement de « mules financières ».]
AnonVNC Loader
Les campagnes menées à la mi-août 2024 ont consisté à diffuser un programme de chargement relativement récent, appelé AnonVNC, par le biais de campagnes se faisant passer pour les services de sécurité ukrainiens (SBU). Cette information a ensuite été confirmée par le CERT-UA, [https://cert.gov.ua/article/6280345 ] mais a fait l'objet d'une classification différente, malgré les similitudes avec les campagnes précédentes.
L'analyse technique révèle que MCTO1025 privilégie les commodity malware qui offrent des capacités d'accès à distance fiables tout en restant difficilement détectables. Les méthodes de diffusion utilisées par le groupe comprennent à la fois des charges utiles hébergées sur des URL et des pièces jointes de courrier électronique au format RAR fractionné, ce qui témoigne d'une flexibilité tactique visant à contourner divers contrôles de sécurité et à maximiser le nombre d'infections réussies dans différents environnements cibles.
Protection Mimecast
Mimecast a mis en place des capacités de détection ciblant les tactiques spécifiques du groupe MCTO1025, notamment l'analyse des schémas d'ingénierie sociale liés aux conflits, des méthodes de diffusion de RAT courants, ainsi que l'utilisation caractéristique par ce groupe de plateformes légitimes de partage de fichiers pour héberger ses charges utiles.
Objectifs
Il s'agit principalement d'organisations ukrainiennes issues de tous les secteurs, les entités roumaines et moldaves constituant une cible secondaire, en particulier celles relevant des secteurs de l'administration, des médias et des infrastructures critiques.
Indicateurs de compromission (IOC)
Domaines malveillants :
- privat24x[.]com
- gbshost[.]com
- 8161[.]uk (page d'accueil de l'agence Da Vinci Special)
URL malveillantes :
- hxxps://bitbucket[.]org/ukgas/medoc/downloads/scan_docs_023747_medoc.zip
- hxxps://bitbucket[.]org/privatbank/obmen/downloads/Електронні_акт_094584_Приватбанк24.7z
- hxxps://bitbucket[.]org/filedataup/up/downloads/Документи.zip
- hxxps://bitbucket[.]org/court_gov_ua/files/downloads/Dokumenty.zip
- hxxps://bitbucket[.]org/files_gov_ua/file/downloads/files.7z
- hxxps://drive.google[.]com/file/d/1LesqoxORcvaUbLN2O3KRNEN0z1qRLmFE/vie
- hxxps://drive.google[.]com/file/d/1EipxNQZfEMcr0D0v3bg9VHhhuBQfRKvK/view?usp=drive_link
- hxxps://drive.google[.]com/file/d/1byrqOmYvSFPAlUvw_Uwh8S_ziMC3T7UU/view
- hxxps://drive.google[.]com/file/d/1PD6UgmqTzAqOWjAkp2OBWUWBc5HWDIaS
Malware Samples (SHA256) :
- de9f2262970884a7412c3b2fba2cb2fb9329ccf29a94b148ee47c255bff041a9
- ce3445a8bd61a791913bc2cb02bcb3dea9fc340bf1c984c40cb33ab1a91a2953
- 97646017a7fd3778e619e55cc7afd594bdd88df5542f21fc2ec10c88fa23741d
- 20ab498b278b14f3786f634778a04d219c74e9fd8517b98f4aca313c9934b7f2
Exemples de chargement d'AnonVNC :
- 4c4872202abb5a60a8764bf44b370578a2b3d6f449b3881e96cc38f1b55f9cda
- 02ec55a5a2ad775adccd333edd94ac0bd82129a233736f7240044e085b73b0b3
- a7297883de84d73fb4965c00228144a0e53c573ad3b7291be39bc6d9c284454c
Canaux de communication :
- hxxps://t[.]me/UFSB95
- hxxps://t[.]me/DVG8873
Infrastructures :
- Hébergement par AEZA International LTD (serveurs situés à Amsterdam)
Recommandations
Sensibilisation aux menaces :
- Former le personnel à repérer les techniques sophistiquées d'ingénierie sociale qui exploitent les tensions régionales et les préoccupations humanitaires
- Mettre en place un contrôle renforcé à l'égard des médias et des infrastructures critiques susceptibles d'être pris pour cibles à des fins de propagande ou de désinformation
Recherche proactive des menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
- Analysez le trafic réseau à la recherche de signatures de RAT courants, en particulier les communications avec des infrastructures d'hébergement AEZA connues
- Examinez tous les cas de promotion de chaînes Telegram dans les communications consacrées au recrutement, en particulier celles proposant
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!