Des installateurs ESET infectés par un cheval de Troie ciblent l'Ukraine
Des installateurs ESET infectés par un cheval de Troie ciblent l’Ukraine
Mise à jour le 2025-11-07 09:11:00 : Une campagne de phishing sophistiquée utilise l’identité d’ESET pour attaquer des entités ukrainiennes.
Alerte : Aucune confirmation indépendante n’a pu être obtenue à partir de sources fiables. Cette information est à considérer avec prudence.
Un groupe d’activités malveillantes jusqu’alors inconnu a été observé, usurpant l’identité de la société slovaque de cybersécurité ESET dans le cadre d’attaques de phishing ciblant des entités ukrainiennes.
La campagne, détectée en mai 2025, est suivie par l’organisation de sécurité sous le nom d’ InedibleOchotense, qui la décrit comme étant alignée sur la Russie.
« InedibleOchotense a envoyé des courriels d’hameçonnage ciblés et des SMS Signal, contenant un lien vers un programme d’installation ESET piégé, à plusieurs entités ukrainiennes », a déclaré ESET dans son rapport sur l’activité APT du deuxième trimestre 2025 au troisième trimestre 2025, partagé avec The Hacker News.
Il est établi qu’InedibleOchotense partage des similitudes tactiques avec une campagne documentée par EclecticIQ qui impliquait le déploiement d’une porte dérobée appelée BACKORDER et par CERT-UA sous le nom de UAC-0212, qu’il décrit comme un sous-groupe au sein du groupe de pirates informatiques Sandworm (alias APT44).
Bien que le courriel soit rédigé en ukrainien, ESET indique que la première ligne contient un mot russe, probablement une faute de frappe ou une erreur de traduction. Ce courriel, qui prétend provenir d’ESET, affirme que son équipe de surveillance a détecté une activité suspecte associée à leur adresse électronique et que leurs ordinateurs pourraient être menacés.
Cette activité est une tentative de tirer profit de l’utilisation généralisée du logiciel ESET dans le pays et de sa réputation de marque pour inciter les destinataires à installer des installateurs malveillants hébergés sur des domaines tels que esetsmart[.]com, esetscanner[.]com et esetremover[.]com.
Le programme d’installation est conçu pour fournir le logiciel légitime ESET AV Remover, ainsi qu’une variante d’une porte dérobée C# nommée Kalambur (ou SUMBUR), qui utilise le réseau d’anonymisation Tor pour le contrôle et la commande. Il est également capable de désactiver OpenSSH et d’activer l’accès à distance via le protocole RDP (Remote Desktop Protocol) sur le port 3389.
Il convient de noter que le CERT-UA, dans un rapport publié le mois dernier, a attribué une campagne presque identique à UAC-0125, un autre sous-groupe au sein de Sandworm.
« InedibleOchotense est un acteur malveillant lié à la Russie, faiblement apparenté à Sandworm, et dont les activités recoupent celles de la campagne BACKORDER de Sandworm et de l’incident UAC-0212 », a déclaré Matthieu Faou, chercheur principal en logiciels malveillants chez ESET, à The Hacker News. « Bien qu’il existe certaines similitudes avec ce qui a été signalé par le CERT-UA sous la désignation UAC-0125, nous ne pouvons pas confirmer ce lien de manière indépendante. »
Ce qu’il faut savoir
- Le fait : Des installateurs ESET sont utilisés pour des attaques de phishing en Ukraine.
- Qui est concerné : Entités ukrainiennes utilisant le logiciel ESET.
- Quand : Campagne détectée en mai 2025.
- Où : Ukraine.
Contexte
Cette campagne s’inscrit dans un cadre plus large d’activités malveillantes liées à la Russie, où des groupes tels que Sandworm continuent de cibler des infrastructures critiques en Ukraine.
Sources
Source d’origine : Voir la publication initiale
Date : 2025-11-07 09:11:00 — Site : hacktualites.com
Auteur : Cédric Balcon-Hermand — Biographie & projets
Application : Téléchargez Artia13 Actualité (Android)
Notre IA anti-désinformation : Analyzer Fake News (Artia13)
Publié le : 2025-11-07 09:11:00 — Slug : des-installateurs-eset-infectes-par-un-cheval-de-troie-integrent-la-porte-derobee-kalambur-lors-dattaques-de-phishing-en-ukraine-hacktualites
Hashtags : #Des #installateurs #ESET #infectés #par #cheval #Troie #intègrent #porte #dérobée #Kalambur #lors #dattaques #phishing #Ukraine #HACKTUALITES
