Andrey Popov - stock.adobe.com

Actualites

Logs de cleptogiciels ? Une mine d’or pour les cybercriminels et… les groupes étatiques

Les cybercriminels en tout genre ne sont pas les seuls à profiter du butin des cleptogiciels. Celui-ci contient également des identifiants utilisables pour des campagnes de cyber-espionnage, loin de la seule motivation pécuniaire.

Valéry Rieß-Marchive
par
Publié le: 01 sept. 2025

Les cleptogiciels (ou infostealers, en anglais) sont des maliciels spécialisés dans le vol d’identifiants de connexion et autres jetons de session stockés dans les navigateurs Web.

Leurs butins – on parle de logs – sont connus pour être utilisés pour accéder frauduleusement à des comptes utilisateurs légitimes, à l’insu de leurs titulaires, pour tout un éventail d’activités répréhensibles, et pas seulement des cyberattaques avec rançongiciel.

Le cyber-espionnage est rarement évoqué dans cet éventail. Et à juste titre : il est beaucoup moins facile à documenter que d’autres actes malveillants à l’impact considérablement plus visible. Les équipes d’Hudson Rock ont toutefois réussi à se pencher sur le sujet.

Dans un billet de blog, elles détaillent « une vague globale de compromission de comptes email liés à des ministères des Affaires étrangères » : Arabie Saoudite, Corée du Sud, Émirats arabes unis, ou encore Qatar et Oman. Mais pas uniquement, loin de là.

« Les cleptogiciels tels que StealC, Lumma ou Redline ratissent large, mais leur compromission des identifiants diplomatiques permet aux APT de mener des attaques précises et crédibles ».

Ainsi, « au cours du conflit indo-pakistanais “Opération Sindoor” de 2025, Hudson Rock a établi un lien entre l’attaque de Bitter APT contre Pakistan Telecommunication Company Limited (PTCL) et le vol d’identifiants via des logiciels malveillants. Un e-mail du département antiterroriste (CTD) de la police d’Islamabad, compromis en 2024 via un logiciel piraté, a servi de point d’entrée ».

Pour Oman, Hudson Rock a repéré des identifiants « probablement volés par hameçonnage ou téléchargement, qui pourraient permettre aux APT d’usurper l’identité de diplomates omanais, d’intercepter des communications sur la sécurité dans le Golfe ou les efforts de médiation, ou de lancer des campagnes d’hameçonnage convaincantes ». Et de relever : « la neutralité d’Oman dans la diplomatie amplifie le risque, car les violations pourraient exacerber les tensions par la fuite d’informations confidentielles ou des faux pas ».

Pour approfondir sur Menaces, Ransomwares, DDoS