Les équipes de HarfangLab ont mis en lumière une campagne de cyberespionnage toujours en cours, attribuée au groupe Gamaredon, un acteur connu pour ses liens supposés avec le FSB russe. Cette analyse, rendue publique le 16 avril, s’appuie sur des échantillons récents de malwares et sur une observation approfondie des infrastructures d’attaque. Elle vise à fournir aux professionnels de la cybersécurité les moyens de mieux anticiper les risques, dans un contexte géopolitique tendu et marqué par des menaces persistantes.
Gamaredon : un groupe offensif aux méthodes éprouvées
Actif depuis plus de dix ans, Gamaredon cible principalement les entités militaires, gouvernementales et les infrastructures critiques ukrainiennes. Selon les chercheurs de HarfangLab, le groupe a récemment recours à une nouvelle version du malware Pterodo, appelée PteroLNK, capable de se propager via des clés USB ou des partages réseau. Cette version met à jour les capacités de commande et de contrôle de l’outil, renforçant sa résilience et son efficacité.
« L’efficacité de Gamaredon ne réside pas dans sa sophistication technique, mais dans sa capacité d’adaptation : un rythme opérationnel soutenu et des mises à jour constantes. Le groupe parvient à produire massivement des malwares fortement obscurcis, renouvelle quotidiennement ses résolveurs pour rediriger vers de nouvelles infrastructures, et parvient ainsi à maintenir un faible taux de détection », explique Ariel Jungheit, responsable de la recherche sur les menaces chez HarfangLab. Les échantillons datés de décembre 2024 montrent une propagation facilitée par des fichiers remplacés par des raccourcis malveillants. Une fois exécuté, le malware agit également comme un téléchargeur, récupérant d’autres charges malveillantes.
« Nous avons analysé une nouvelle version du malware issu de l’écosystème Pterodo, baptisée Ptero-LNK. Certains échantillons, datant de décembre 2024, montrent que cette variante peut se propager via des clés USB ou des partages réseau, en remplaçant des fichiers ou des dossiers par des raccourcis malveillants. Une fois qu’un poste est compromis, l’infection peut se propager facilement. Le malware agit également comme un téléchargeur capable de récupérer et d’exécuter d’autres charges malveillantes », précise Ariel Jungheit. « L’objectif de Gamaredon reste le même : surveiller et perturber la défense ukrainienne pour soutenir les objectifs militaires russes. Ce qui caractérise cette campagne, ce n’est pas seulement son ampleur et sa persistance, mais le fait qu’elle soit encore active à ce jour. »
Un mode opératoire peu sophistiqué mais extrêmement agile
L’analyse de HarfangLab ne signale pas de ciblage direct de la France ni d’autres pays européens dans cette campagne particulière. Néanmoins, des antécédents d’incursions dans les pays voisins de l’Ukraine suggèrent que des partenaires diplomatiques ou militaires pourraient, à terme, être concernés. Le rapport se distingue par la mise à disposition d’indicateurs de compromission (IOC) et de descriptions techniques, destinées à aider les équipes cybersécurité à détecter cette menace, quel que soit leur niveau de maturité. HarfangLab alerte également sur le faible taux de détection constaté : certains malwares analysés ne sont reconnus que par 6 moteurs antivirus sur 61, plusieurs mois après leur première diffusion.
« Gamaredon est devenu un expert en camouflage. Ses malwares échappent aux outils d’analyse statiques et automatisés. Même aujourd’hui, les taux de détection sont faibles : seuls 6 moteurs antivirus sur 61 détectent certains de ces échantillons des mois après leur apparition initiale. Cela montre à quel point leurs méthodes sont efficaces », note Ariel Jungheit. « Notre objectif est de permettre aux entreprises de prendre le contrôle de leur sécurité. Nous croyons en la collaboration et la transparence dans un domaine qui est devenu de plus en plus fermé et concurrentiel. Ce rapport est détaillé, exploitable et conçu pour aider les équipes à détecter la menace, qu’il s’agisse de petites équipes de SOC ou de grandes entreprises de cybersécurité. La détection n’est pas encore généralisée, et nous espérons que cela contribuera à augmenter les taux de détection. »
Cette campagne illustre les dynamiques actuelles du cyberespionnage étatique et la nécessité pour les partenaires européens — y compris revendeurs, intégrateurs et MSP — de se doter d’outils de détection adaptés et d’accéder à une information technique fiable. L’enquête menée par HarfangLab souligne que la rapidité de déploiement et la capacité d’obfuscation priment désormais sur la sophistication du code. Dans ce contexte, la diffusion publique d’indicateurs techniques détaillés constitue un levier important pour améliorer la résilience du tissu économique européen face aux menaces persistantes.
Évaluations MITRE 2024 : premiers enseignements sur les solutions EDR
À propos de ChannelBiz :
ChannelBiz.fr est le média des partenaires de distribution IT & Tech en France : Intégrateurs, revendeurs, et MSP/MSSP. Chaque semaine, nous proposons à nos 9000 abonnés 2 newsletters autour des actualités et des enjeux majeurs du Channel : infra & Cloud, Cybersécurité ; Workspace & AV ; Telecom; et Business Apps. Nous éditons également chaque trimestre « ChannelBiz : Le Mag » : un magazine de 60 pages, pour prendre du recul sur les tendances fortes du marché. Et pour ne rien rater de l’actualité du Channel au quotidien, rejoignez notre page Linkedin ChannelBiz.