Attention aux faux PDF des pirates russes de Coldriver

Si vous recevez un fichier PDF chiffré et que votre correspondant vous suggère ensuite de télécharger un logiciel de déchiffrement, par exemple intitulé “Proton-decrypter.exe”, méfiance ! C’est, selon le groupe d'analyse des menaces (TAG) de Google, l’une des mauvaises recettes des espions informatiques russes de Coldriver.

Selon le Royaume-Uni et les Etats-Unis, ces pirates informatiques, également connus sous les noms de Callisto Group ou de Star Blizzard, seraient en effet liés à l’un des services de renseignement russe, le FSB. Londres avait dénoncé en décembre dernier des tentatives d’ingérence russe visant des politiciens, des fonctionnaires, des journalistes et des ONG.

Spécialistes du hameçonnage 

Selon Microsoft, ces pirates - ici identifiés sous le nom de Seaborgium - sont des spécialistes du hameçonnage. Ils tentent de gagner la confiance de leurs cibles en usurpant des identités. Après avoir incité les victimes à ouvrir un fichier PDF ou cliqué sur un lien, les attaquants peuvent ainsi voler leurs identifiants de connexion.

Les experts en sécurité de Google estiment aussi, dans leur dernière publication, que ce groupe de pirates russes est en campagne active contre des cibles au sein de la société civiles et contre d’anciens responsables du renseignement, de la défense ou de gouvernements de pays de l’Otan. Ils avaient déjà pointé les activités malveillantes de Coldriver il y a près de deux ans.

Porte dérobée Spica 

Google a ainsi repéré la méthode de l’envoi d’un fichier PDF chiffré visant à faire télécharger un programme malveillant. Le document PDF prétendument chiffré était censé être un éditorial ou un article que l’émetteur de l’email souhaitait faire publier, sollicitant un commentaire de sa cible. Le téléchargement de l’utilitaire de déchiffrement permettait d’ouvrir chez la victime une porte dérobée.

Celle-ci, dénommée Spica, un programme écrit en Rust, permet de voler des cookies, de voler des données ou d’exécuter des commandes. Les experts de Google estiment que cette porte dérobée est utilisée depuis au moins novembre 2022. Quelques années plus tôt, ils avaient surpris Coldriver en train d’utiliser un programme qui avait fuité après le piratage de la société italienne Hacking Team en juillet 2015.