Principaux renseignements

• Des acteurs de la menace liés à la Russie ont mené une campagne de cyberespionnage ciblant des organisations en Asie centrale, en Asie de l’Est et en Europe.
• TAG-110 a utilisé des outils malveillants personnalisés, HATVIBE et CHERRYSPY, pour compromettre des cibles depuis au moins 2021, en se concentrant sur des entités gouvernementales, des groupes de défense des droits de l’homme et des établissements d’enseignement.
• L’analyse révèle une concentration de victimes au Tadjikistan, au Kirghizistan, au Kazakhstan, au Turkménistan et en Ouzbékistan, ce qui suggère que l’Asie centrale est un centre d’intérêt principal pour l’acteur de la menace.

Des acteurs de la menace liés à la Russie ont été observés en train de mener une campagne de cyberespionnage ciblant des organisations en Asie centrale, en Asie de l’Est et en Europe. Ce groupe d’activités, baptisé TAG-110 par le groupe Insikt de Recorded Future, s’aligne sur d’autres désignations de groupes de menaces comme UAC-0063 de l’équipe de réponse aux urgences informatiques de l’Ukraine (CERT-UA) et APT28. Depuis au moins 2021, TAG-110 utilise des outils malveillants personnalisés, HATVIBE et CHERRYSPY, pour compromettre ses cibles.

Ces outils visent principalement les entités gouvernementales, les groupes de défense des droits de l’homme et les établissements d’enseignement. HATVIBE sert de chargeur pour déployer CHERRYSPY, une porte dérobée en Python conçue pour l’exfiltration de données et l’espionnage. Le CERT-UA a initialement documenté l’utilisation de ces familles de logiciels malveillants à la fin du mois de mai 2023 lors d’une attaque contre des organismes d’État ukrainiens. HATVIBE et CHERRYSPY sont réapparus un an plus tard lors d’une intrusion visant une institution de recherche scientifique ukrainienne dont le nom n’a pas été dévoilé.

Concentration géographique

L’analyse révèle au moins 62 victimes uniques dans onze pays depuis lors, avec des incidents notables concentrés au Tadjikistan, au Kirghizistan, au Kazakhstan, au Turkménistan et en Ouzbékistan. Cette concentration suggère que l’Asie centrale est l’un des principaux centres d’intérêt de l’acteur de la menace, peut-être pour recueillir des renseignements qui soutiennent les objectifs géopolitiques de la Russie dans la région. Un plus petit nombre de victimes a également été identifié en Arménie, en Chine, en Hongrie, en Inde, en Grèce et en Ukraine.

Tactiques, techniques et procédures

Les chaînes d’attaque de TAG-110 impliquent généralement l’exploitation de vulnérabilités dans des applications web publiques telles que Rejetto HTTP File Server et des courriels d’hameçonnage comme vecteurs d’accès initiaux. Ces tactiques sont utilisées pour livrer HATVIBE, un chargeur d’application HTML personnalisé qui facilite le déploiement de la porte dérobée CHERRYSPY pour la collecte et l’exfiltration de données. Recorded Future estime que les activités de TAG-110 contribuent probablement à une stratégie russe plus large visant à collecter des renseignements sur les développements géopolitiques et à maintenir une influence dans les États post-soviétiques. Cet objectif est motivé par les relations tendues qui ont suivi l’invasion de l’Ukraine par la Russie, ce qui confère à ces régions une importance stratégique pour Moscou.

Guerre hybride

Pour compléter ce tableau, la Russie aurait intensifié son sabotage des infrastructures européennes depuis l’invasion de l’Ukraine en février 2022. Les cibles comprennent les alliés de l’OTAN, l’Estonie, la Finlande, la Lettonie, la Lituanie, la Norvège et la Pologne, dans le but de les déstabiliser et d’interrompre leur soutien à l’Ukraine. Ces actions secrètes s’inscrivent dans la stratégie de guerre hybride de la Russie, qui cherche à affaiblir les capacités militaires de l’OTAN, à mettre à mal les alliances politiques et, en fin de compte, à semer la discorde parmi ses adversaires.

Recorded Future prévoit qu’au fur et à mesure que les tensions entre la Russie et l’Occident resteront vives, la Russie augmentera probablement la gravité de ses opérations de sabotage sans avoir recours à un conflit direct avec l’OTAN. Ces attaques physiques viendraient compléter les campagnes cybernétiques et d’influence existantes, renforçant ainsi la doctrine de guerre hybride à multiples facettes de la Russie.

Si vous souhaitez accéder à tous les articles, abonnez-vous ici!