Ce podcast technique réunit Nicolas, l’animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d’une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe.
Maxime et Amaury expliquent d’abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d’organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d’informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants.
Leur équipe dispose de quatre spécialités : le tracking d’infrastructure, les règles de détection, le reverse engineering de malware, et l’analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces.
L’investigation démarre à partir d’un article publié fin juillet 2024 par le CERT-UA (l’autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l’Ukraine. À partir de ces informations, l’équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d’éventuelles variantes.
Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n’avaient jamais été publiés auparavant.
Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l’ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d’infection particulièrement élaborée.
La particularité qui a donné son nom à la campagne est l’utilisation d’un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l’exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2).
Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d’utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l’exfiltration de données.
L’analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d’ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l’Allemagne et le Kazakhstan datant de septembre 2024, lors d’une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands.
Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d’opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu’allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l’intérêt du renseignement russe.
L’équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l’Asie centrale et utilisait des techniques similaires de “double tap”.
Les chercheurs soulignent l’importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l’amélioration de la cybersécurité globale, permettant à d’autres chercheurs de construire sur leurs travaux.
De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu’une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L’équipe avait d’ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse.
Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s’étendre sur plusieurs années.
View all episodes
By Nicolas-Loïc Fortin et tous les collaborateursCe podcast technique réunit Nicolas, l’animateur, avec Maxime Arquillière et Amaury-Jacques Garçon, deux analystes en cybermenace de sekoia., une société française spécialisée dans le renseignement sur les menaces informatiques (CTI - Cyber Threat Intelligence). Leur discussion porte sur une investigation approfondie d’une campagne de cyberespionnage sophistiquée baptisée “Double Tap”, probablement liée au groupe APT28 du renseignement militaire russe.
Maxime et Amaury expliquent d’abord leur approche du travail de CTI, qui repose largement sur une veille continue des publications d’organismes spécialisés (CERT français, américains, canadiens) et de chercheurs en cybersécurité. Cette collecte systématique d’informations en source ouverte leur permet de modéliser les menaces et de créer des règles de détection, notamment des règles Yara pour identifier les fichiers malveillants.
Leur équipe dispose de quatre spécialités : le tracking d’infrastructure, les règles de détection, le reverse engineering de malware, et l’analyse stratégique qui vise à comprendre les objectifs géopolitiques derrière les attaques étatiques. Cette approche multidimensionnelle permet une compréhension globale des cybermenaces.
L’investigation démarre à partir d’un article publié fin juillet 2024 par le CERT-UA (l’autorité ukrainienne de réponse aux incidents), qui documente des attaques ciblant régulièrement l’Ukraine. À partir de ces informations, l’équipe a créé des règles de détection, dont certaines volontairement plus souples pour capturer d’éventuelles variantes.
Mi-octobre, une de ces règles Yara a détecté un document Word malveillant sur VirusTotal, une plateforme où sont analysés des millions de fichiers suspects. Ce document contenait une macro et semblait être issu du ministère des Affaires étrangères du Kazakhstan. Cette alerte a déclenché une investigation approfondie qui a permis de découvrir au total 18 documents similaires, dont une dizaine n’avaient jamais été publiés auparavant.
Amaury détaille la sophistication technique de cette attaque. Les documents malveillants utilisent une technique de social engineering : ils apparaissent floutés ou déformés à l’ouverture, incitant la victime à cliquer sur “Activer les macros” pour les rendre lisibles. Cette action déclenche une chaîne d’infection particulièrement élaborée.
La particularité qui a donné son nom à la campagne est l’utilisation d’un double mécanisme : le premier document Word crée un second document contenant des macros malveillantes dans un répertoire temporaire du système. Cette approche en plusieurs étapes vise à contourner les systèmes de détection. Une fois activé, le malware modifie les paramètres de sécurité du système pour permettre l’exécution automatique de macros futures, établit une persistance qui se réactive toutes les quatre minutes, et contacte un serveur de commande et contrôle (C2).
Le code, largement obfusqué, construit progressivement une troisième macro qui communique avec un serveur externe pour transmettre des informations sur la machine compromise (nom d’utilisateur, nom du PC) et potentiellement déployer un backdoor Python appelé “Cherry Spy” pour l’exfiltration de données.
L’analyse de Maxime révèle que les dix documents découverts étaient tous rédigés en kazakh et concernaient des sujets diplomatiques : câbles d’ambassades kazakhes en Belgique et Afghanistan, comptes-rendus de visites présidentielles, et notamment une déclaration diplomatique conjointe entre l’Allemagne et le Kazakhstan datant de septembre 2024, lors d’une visite du chancelier Olaf Scholz visant à diversifier les approvisionnements énergétiques allemands.
Ces documents, datés entre 2021 et 2024, semblent être des documents légitimes récupérés lors d’opérations antérieures et réutilisés comme appâts pour cibler des diplomates et officiels kazakhs. Le Kazakhstan, bien qu’allié traditionnel de la Russie, adopte une politique de plus en plus indépendante, ce qui expliquerait l’intérêt du renseignement russe.
L’équipe établit des connexions avec APT28 (également connu sous le nom de Fancy Bear), un groupe de cyberespionnage du renseignement militaire russe (GRU). Ils identifient également des similitudes avec Zebrocy, un mode opératoire actif entre 2015 et 2020 qui ciblait spécifiquement l’Asie centrale et utilisait des techniques similaires de “double tap”.
Les chercheurs soulignent l’importance de publier leurs découvertes en source ouverte. Bien que cela puisse alerter les attaquants et les pousser à modifier leur infrastructure, cette transparence contribue à l’amélioration de la cybersécurité globale, permettant à d’autres chercheurs de construire sur leurs travaux.
De manière remarquable, quelques jours après la publication de leur rapport, un média kazakh a annoncé qu’une inspection imprévue du ministère des Affaires étrangères serait menée suite aux révélations sur cette cyberattaque. L’équipe avait d’ailleurs tenté de contacter le gouvernement kazakh avant publication, sans recevoir de réponse.
Cette investigation illustre parfaitement la complexité du travail en CTI : combiner expertise technique, compréhension géopolitique et éthique du partage pour protéger efficacement contre les menaces étatiques sophistiquées qui peuvent s’étendre sur plusieurs années.
653 Listeners
12 Listeners
2 Listeners
8,012 Listeners
63 Listeners
2 Listeners
17 Listeners
75 Listeners
21 Listeners
0 Listeners
6 Listeners
22 Listeners
0 Listeners
0 Listeners
11 Listeners