Microsoft Threat Intelligence a publié un rapport sur Void Blizzard, un nouvel acteur de menace affilié à la Russie, qui mène des opérations de cyberespionnage ciblant principalement des organisations importantes pour les objectifs du gouvernement russe. Ces cibles incluent les secteurs gouvernementaux, de la défense, des transports, des médias, des ONG et de la santé, principalement en Europe et en Amérique du Nord.
Void Blizzard utilise des identifiants volés, souvent achetés sur des marchés en ligne, pour accéder aux organisations et voler de grandes quantités d’emails et de fichiers. En avril 2025, ils ont commencé à utiliser des méthodes plus directes pour voler des mots de passe, telles que l’envoi de faux emails pour tromper les utilisateurs.
Le rapport souligne que Void Blizzard cible de manière disproportionnée les États membres de l’OTAN et l’Ukraine, ce qui indique une collecte d’informations pour soutenir les objectifs stratégiques russes. Les opérations de cyberespionnage de Void Blizzard sont très ciblées sur des organisations spécifiques d’intérêt pour le gouvernement russe.
Ce rapport vise à partager l’analyse des tactiques, techniques et procédures (TTP) de Void Blizzard afin de permettre à la communauté plus large d’appliquer des détections spécifiques et des conseils de mitigation pour perturber et se protéger contre les opérations de Void Blizzard. Le rapport est une analyse technique destinée à sensibiliser et à protéger les organisations contre cette menace.
🧠 TTP et IOC détecté
TTP
Utilisation d’identifiants volés, phishing pour voler des mots de passe, ciblage d’organisations spécifiques pour le cyberespionnage
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/05/27/new-russia-affiliated-actor-void-blizzard-targets-critical-sectors-for-espionage/