Le malware LuckyStrike Agent cible les entreprises informatiques russes dans une cyberattaque Space Pirates
Les entreprises informatiques russes sont dans le collimateur d'une nouvelle cybermenace découverte par le groupe de hackers Space Pirates, qui lance une nouvelle vague d'attaques. La campagne malveillante, détectée pour la première fois en novembre 2024 par Solar, la division de cybersécurité de Rostelecom en Russie, exploite une souche de malware jusqu'alors inconnue appelée LuckyStrike Agent. Cette opération de cyberespionnage sophistiquée, suivie sous le nom de code Erudite Mogwai, souligne un effort continu pour infiltrer des cibles de grande valeur dans le secteur technologique russe.
Table of Contents
Qui sont les pirates de l'espace ?
Space Pirates est un groupe de menaces persistantes avancées (APT) connu pour son activité de cyberespionnage, ciblant principalement les agences gouvernementales et les industries de haute technologie. Le groupe est actif depuis au moins 2017, ses campagnes s'étendant au-delà de la Russie, vers des pays comme la Géorgie et la Mongolie. Il partage des chevauchements tactiques notables avec un autre groupe APT lié à la Chine, Webworm, ce qui laisse entrevoir des liens potentiels avec des activités cybernétiques parrainées par des États.
À l'intérieur de l'attaque de l'agent LuckyStrike
Intrusion initiale et mouvement latéral
Selon les chercheurs de Solar, l'attaque a commencé par la compromission d'un service Web accessible au public au plus tard en mars 2023. Les attaquants ont agi avec prudence, en effectuant des reconnaissances et en se propageant progressivement sur le réseau sur une période stupéfiante de 19 mois. En novembre 2024, ils avaient eu accès à des segments critiques du réseau liés à la surveillance du système.
Le rôle de l'agent LuckyStrike
Le malware LuckyStrike Agent, récemment découvert, est une porte dérobée .NET multifonctionnelle qui utilise Microsoft OneDrive pour la communication de commande et de contrôle (C2). Cela permet aux attaquants d'émettre des commandes de manière dissimulée et d'exfiltrer des données sensibles tout en se fondant dans le trafic réseau légitime.
Outils supplémentaires dans l'attaque
En plus de l'agent LuckyStrike, les pirates de l'espace ont employé :
- Deed RAT (ShadowPad Light) – Un cheval de Troie d’accès à distance furtif qui fournit un accès persistant.
- Modified Stowaway Proxy – Un utilitaire proxy personnalisé optimisé pour les communications cryptées, utilisant la compression LZ4, le cryptage XXTEA et la prise en charge du protocole QUIC pour échapper à la détection.
En modifiant soigneusement Stowaway, les attaquants ont supprimé des fonctions inutiles et modifié les tailles de structure, probablement dans le but de contourner les systèmes de détection basés sur les signatures.
Une menace persistante et évolutive
Les groupes APT comme les Space Pirates opèrent avec des objectifs à long terme, conservant souvent l'accès à des environnements compromis pendant des mois, voire des années. Leur capacité à rester indétectables tout en étendant progressivement leur présence souligne l'importance d'une surveillance continue des menaces et d'une défense proactive en matière de cybersécurité.
À mesure que les cybermenaces évoluent, les entreprises doivent adopter une approche de sécurité multicouche, comprenant la segmentation du réseau, la surveillance des terminaux et des évaluations régulières de la vulnérabilité. L'utilisation de services cloud comme OneDrive pour les opérations C2 soulève également des inquiétudes quant à l'incapacité des outils de sécurité traditionnels à détecter les menaces cachées au sein de plateformes légitimes.
La campagne Erudite Mogwai des pirates de l'espace nous rappelle avec force qu'aucune organisation n'est à l'abri du cyberespionnage. Avec des logiciels malveillants avancés comme LuckyStrike Agent et des outils de piratage personnalisés, les groupes APT continuent d'affiner leurs tactiques, rendant la détection précoce plus essentielle que jamais. Les entreprises informatiques russes et les industries de haute technologie du monde entier doivent rester vigilantes face à ces menaces furtives et persistantes.
