Le Google Threat Intelligence Group (GTIG) a récemment découvert un nouveau malware baptisé LOSTKEYS, attribué au groupe de menaces COLDRIVER, soutenu par le gouvernement russe. Ce malware est capable de voler des fichiers à partir d’une liste prédéfinie d’extensions et de répertoires, tout en envoyant des informations système et des processus en cours aux attaquants.
LOSTKEYS a été observé en janvier, mars et avril 2025, marquant une nouvelle évolution dans l’arsenal de COLDRIVER, un groupe principalement connu pour ses attaques de phishing ciblant des personnalités de haut niveau comme les gouvernements de l’OTAN, des ONG, et d’anciens officiers de renseignement et diplomatiques. GTIG suit COLDRIVER depuis plusieurs années, notamment pour leur malware SPICA en 2024.
Les cibles récentes des campagnes de COLDRIVER incluent des conseillers actuels et anciens des gouvernements et des militaires occidentaux, ainsi que des journalistes, des think tanks et des ONG. Le groupe continue également de cibler des individus liés à l’Ukraine, avec pour objectif principal la collecte de renseignements au profit des intérêts stratégiques de la Russie.
Pour protéger les utilisateurs à risque, GTIG utilise ses recherches sur des acteurs menaçants sérieux comme COLDRIVER pour améliorer la sécurité des produits Google. Ils encouragent les cibles potentielles à s’inscrire au programme de protection avancée de Google, à activer la navigation sécurisée améliorée pour Chrome et à s’assurer que tous les appareils sont à jour. Cet article est une analyse de menace visant à informer sur les capacités et les objectifs de COLDRIVER.
🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos?hl=en