Les experts de Kaspersky Managed Detection and Response ont observé une cyberattaque d'espionnage visant une organisation d'Afrique australe et l'ont reliée avec un haut degré de certitude au groupe sinophone APT41. Bien que l'acteur malveillant montre généralement une activité limitée en Afrique australe, cet incident révèle que les attaquants ont ciblé les services informatiques gouvernementaux d'un des pays de la région, dans le but de voler des données sensibles, notamment des identifiants, des documents internes, du code source et des communications, déployés à travers divers outils de vol, tels que Pillager, ou encore Checkout ; parmi d'autres.

Qui est APT41 ?

APT41 est un groupe sinophone classé parmi les acteurs de la menace persistante avancée (Advanced Persistent Threat - APT). Il est reconnu pour ses campagnes de cyberespionnage complexes et ciblées, menées contre des organisations stratégiques dans des secteurs tels que les télécommunications, la santé, l'éducation, l'énergie ou encore les technologies de l'information. Son activité malveillante a été documentée dans plus de 42 pays à travers le monde.

Une compromission initiée via un serveur exposé à Internet

Selon l'analyse rétrospective menée par Kaspersky, les cybercriminels ont probablement accédé au réseau via un serveur web vulnérable, exposé à Internet. Grâce à une technique appelée registry dumping (extraction de registres), ils ont obtenu deux comptes à privilèges élevés :

un compte disposant de droits d'administrateur local sur l'ensemble des postes de travail ,

, un autre lié à une solution de sauvegarde, doté de droits d'administrateur du domaine.

Ces accès ont permis aux attaquants de se déplacer latéralement et de compromettre d'autres systèmes.

Des outils de vol de données avancés et personnalisés

L'attaque reposait sur plusieurs outils malveillants, notamment :

Pillager , modifié pour fonctionner comme une bibliothèque dynamique (DLL), utilisé pour extraire des identifiants stockés dans les navigateurs, bases de données, outils d'administration, ainsi que des captures d'écran , conversations de messagerie , emails , code source , logiciels installés , identifiants système et mots de passe Wi-Fi .

, modifié pour fonctionner comme une bibliothèque dynamique (DLL), utilisé pour extraire des identifiants stockés dans les navigateurs, bases de données, outils d'administration, ainsi que des , , , , , et . Checkout, un second stealer capable de collecter des données de carte bancaire stockées, l'historique de navigation et les fichiers téléchargés.

Les attaquants ont également utilisé :

RawCopy , pour extraire des fichiers du registre,

, pour extraire des fichiers du registre, Mimikatz (DLL) pour dérober des identifiants,

(DLL) pour dérober des identifiants, Cobalt Strike, pour assurer la commande et le contrôle (C2) à distance des machines compromises.

SharePoint détourné pour passer inaperçu

« Fait notable, les attaquants ont également utilisé le serveur SharePoint de l'organisation comme canal de communication C2. Ce choix s'explique probablement par sa présence déjà légitime dans l'infrastructure, ce qui le rendait moins suspect. Ils y ont connecté des agents C2 personnalisés via une web-shell, afin de contrôler les systèmes et exfiltrer les données de façon discrète », explique Denis Kulik, analyste principal SOC chez Kaspersky Managed Detection and Response. « Pour contrer ce type d'attaque avancée, il est essentiel de disposer d'une visibilité complète sur l'infrastructure, d'une détection en continu, et de restreindre les privilèges accordés aux comptes utilisateurs. »

Recommandations de Kaspersky

Une analyse détaillée de l'incident est disponible sur Securelist. Pour atténuer ou prévenir des attaques similaires, il est conseillé aux organisations de suivre ces bonnes pratiques :