Calisto (ColdRiver/Star Blizzard) cible RSF via spear‑phishing et kit AiTM visant ProtonMail

Source: Sekoia TDR (Sekoia.io). En mai-juin 2025, l’équipe TDR a été contactée par deux organisations — dont Reporters Sans Frontières (RSF) — au sujet d’une campagne de spear‑phishing attribuée à l’intrusion set Calisto (ColdRiver/Star Blizzard), rattaché au FSB (TsIB, unité 64829). Sekoia.io confirme la cohérence de l’attribution avec les intérêts stratégiques russes.

🧭 Ciblage et mode opératoire. Les campagnes de Calisto visent principalement l’espionnage contre des entités occidentales soutenant l’Ukraine (militaire, think tanks, ONG). Le groupe usurpe des contacts de confiance depuis des adresses ProtonMail et envoie des emails sans pièce jointe ou avec un lien PDF inactif pour inciter la victime à demander un renvoi. Le suivi contient soit un lien menant à un redirecteur sur site compromis puis à ProtonDrive (PDF malveillant présumé), soit un faux PDF (en réalité un ZIP renommé .pdf) qui agit comme leurre. Les PDFs factices affichent un message d’encryptage et redirigent vers ProtonDrive via un redirecteur puis un kit de phishing.

🧪 Analyse du kit de phishing. Hébergé sur account.simpleasip[.]org, le kit apparaît « fait maison », applique une technique Adversary‑in‑the‑Middle (AiTM) et peut relayer la 2FA. Des scripts JavaScript malveillants modifient l’interface de connexion ProtonMail: l’email de la victime est prérempli, le focus est forcé sur le champ mot de passe toutes les 250 ms, et l’UI est détournée pour présenter CAPTCHA/2FA/erreurs. Le code interagit avec une API attaquante (scorelikelygateway.simleasip[.]org) et charge une version « patchée » de public-index.7162a3fd.js afin d’appeler ownershipSubmitCallback. Après authentification, le kit tente d’appeler /api/core/v4/events/latest; malgré des réponses 404 côté kit, la connexion aboutit côté ProtonMail, avec un accès depuis 196.44.117[.]196 (service Big Mama Proxy).

🧩 Redirecteurs et infrastructure. Le redirecteur est un script PHP déployé sur des sites compromis, acceptant un jeton via le paramètre GET utm_refferer, puis redirigeant en JavaScript vers la page finale. L’infrastructure s’appuie sur des DNS gratuits/standards Namecheap (freedns*.registrar-servers.com, dns1.registrar-servers.com), avec des enregistrements antérieurs chez Regway pour Q1–Q2. Certaines infrastructures sont déjà sinkhole par MSTIC. Proton Security a bloqué le compte de l’opérateur et coopère sur ces opérations.

📌 IOCs et TTPs

• TTPs:
  • Spear‑phishing avec usurpation de contacts de confiance (ProtonMail), oubli de pièce jointe/lien inactif pour susciter une relance.
  • Envoi d’un faux PDF (ZIP renommé .pdf) et de PDFs leurres chiffrés renvoyant vers ProtonDrive via redirecteurs sur sites compromis.
  • Redirecteur PHP sur sites compromis, paramètre GET utm_refferer, redirection JavaScript.
  • AiTM avec relai 2FA, injection JavaScript, préréglage email, forçage du focus mot de passe, détournement UI (CAPTCHA/2FA/erreurs), modification du bundle public-index.7162a3fd.js et utilisation de ownershipSubmitCallback.
  • Tentatives d’accès à /api/core/v4/events/latest; usage de proxy résidentiel (196.44.117[.]196, Big Mama Proxy).
  • Campagnes également associées à ClickFix pour de la prise d’empreinte/exec.
• Redirecteurs connus:
  • hxxps://admin.artemood[.]com/vendor/plugx/*.php
  • hxxps://mittalcpa[.]com/wp-content/plugins/bungs/*.php
  • hxxps://esclerosemultiplario[.]com.br/wp-content/plugins/areada/*.php
  • hxxps://myoseguridad[.]net/prueba/phantomrise/*.php
  • hxxps://esourcesol[.]com/wp-content/plugins/leykos/*.php
  • hxxps://cranium[.]id/plugins/unite/*.php
• Autres IOCs/infrastructure:
  • Kit: account.simpleasip[.]org
  • API attaquante: scorelikelygateway.simleasip[.]org
  • IP d’accès: 196.44.117[.]196 (Big Mama Proxy)
  • DNS: freedns*.registrar-servers.com, dns1.registrar-servers.com; anciens enregistrements Regway
• Domaines utilisés (liste non exhaustive; certains sinkhole par MSTIC): sopatrasoftware[.]net; setimgfont[.]com; ageyeboo[.]com; doggiewalkietalkie[.]company; napsubrow[.]com; collappendrow[.]net; acmathj[.]org; partizan-cryptobox[.]com; drivenginfra[.]com; proton-decrypt[.]com; astrocosmograv[.]com; bridgevisionassetmanagement[.]net; sysgentuore[.]com; enepascm[.]net; cloudmediaportal[.]com; addnamestamp[.]net; agentsbreakcursor[.]org; agilegapvalue[.]com; applicationformsubmit[.]me; argosurflooms[.]com; atheismatoninoosers[.]net; baayaygnu[.]com; biochemsys[.]org; bridgevisionassets[.]net; ceehogrho[.]org; checkshowlabel[.]org; classmechthermo[.]com; cowsetmom[.]com; documentsec[.]com; fohmaspub[.]org; forcelistcon[.]com; gemtarfad[.]com; gymaisbad[.]org; harmenganaleng[.]com; inkwaxmil[.]com; inmeoaf[.]com; jamyexraw[.]com; kwargsdirgrid[.]com; lamiderot[.]eu; layoutdatatype[.]org; leaseselfid[.]com; lekgodmop[.]com; levtawrig[.]eu; logmanzoo[.]com; maddeehot[.]online; mainboxtype[.]net; mapaji[.]com; menustatusbar[.]org; midemucoped[.]org; mobtuxawe[.]org; mofamole[.]com; ned-application-proposal[.]org; ned-granting-opportunitis[.]org; ned-granting-potential[.]com; netyintry[.]com; nextgenscloud[.]com; noonevinedreammer[.]org; objectwidgetfont[.]org; onlineviewdoc[.]com; ovaradiumnon[.]org; owntrywad[.]com; parkcaprigra[.]com; pietabyew[.]org; prostaffcover[.]org; psybehavconf[.]com; raxpoprig[.]org; reftospy[.]com; requestspatchcopy[.]net; returnselfdata[.]net; saghughap[.]com; sendhostargs[.]com; setproxytrue[.]net; simleasip[.]org; sizarebabrhino[.]org; slacksfulgurbairn[.]org; sobcozsee[.]com; soborsshe[.]com; socalstrategy[.]info; towegospa[.]com; trekpoofedbange[.]org; tryledsox[.]com; tucklocsqueal[.]org; weblangdata[.]com; yehmaways[.]com

En résumé, il s’agit d’une analyse de menace détaillant une campagne de spear‑phishing et l’outillage AiTM de Calisto, avec publication d’IOCs et observations d’infrastructure pour soutenir la détection et l’attribution.

🧠 TTPs et IOCs détectés

TTP

[‘Spear-phishing avec usurpation de contacts de confiance (ProtonMail)’, ‘Oubli de pièce jointe/lien inactif pour susciter une relance’, ‘Envoi d’un faux PDF (ZIP renommé .pdf) et de PDFs leurres chiffrés renvoyant vers ProtonDrive via redirecteurs sur sites compromis’, ‘Redirecteur PHP sur sites compromis, paramètre GET utm_refferer, redirection JavaScript’, ‘Adversary-in-the-Middle (AiTM) avec relai 2FA’, ‘Injection JavaScript’, ‘Préréglage email’, ‘Forçage du focus mot de passe’, ‘Détournement UI (CAPTCHA/2FA/erreurs)’, ‘Modification du bundle public-index.7162a3fd.js et utilisation de ownershipSubmitCallback’, ‘Tentatives d’accès à /api/core/v4/events/latest’, ‘Usage de proxy résidentiel (196.44.117[.]196, Big Mama Proxy)’, ‘Campagnes associées à ClickFix pour de la prise d’empreinte/exec’]

IOC

{‘ip’: [‘196.44.117.196’], ‘domain’: [‘account.simpleasip.org’, ‘scorelikelygateway.simleasip.org’, ‘sopatrasoftware.net’, ‘setimgfont.com’, ‘ageyeboo.com’, ‘doggiewalkietalkie.company’, ’napsubrow.com’, ‘collappendrow.net’, ‘acmathj.org’, ‘partizan-cryptobox.com’, ‘drivenginfra.com’, ‘proton-decrypt.com’, ‘astrocosmograv.com’, ‘bridgevisionassetmanagement.net’, ‘sysgentuore.com’, ’enepascm.net’, ‘cloudmediaportal.com’, ‘addnamestamp.net’, ‘agentsbreakcursor.org’, ‘agilegapvalue.com’, ‘applicationformsubmit.me’, ‘argosurflooms.com’, ‘atheismatoninoosers.net’, ‘baayaygnu.com’, ‘biochemsys.org’, ‘bridgevisionassets.net’, ‘ceehogrho.org’, ‘checkshowlabel.org’, ‘classmechthermo.com’, ‘cowsetmom.com’, ‘documentsec.com’, ‘fohmaspub.org’, ‘forcelistcon.com’, ‘gemtarfad.com’, ‘gymaisbad.org’, ‘harmenganaleng.com’, ‘inkwaxmil.com’, ‘inmeoaf.com’, ‘jamyexraw.com’, ‘kwargsdirgrid.com’, ’lamiderot.eu’, ’layoutdatatype.org’, ’leaseselfid.com’, ’lekgodmop.com’, ’levtawrig.eu’, ’logmanzoo.com’, ‘maddeehot.online’, ‘mainboxtype.net’, ‘mapaji.com’, ‘menustatusbar.org’, ‘midemucoped.org’, ‘mobtuxawe.org’, ‘mofamole.com’, ’ned-application-proposal.org’, ’ned-granting-opportunitis.org’, ’ned-granting-potential.com’, ’netyintry.com’, ’nextgenscloud.com’, ’noonevinedreammer.org’, ‘objectwidgetfont.org’, ‘onlineviewdoc.com’, ‘ovaradiumnon.org’, ‘owntrywad.com’, ‘parkcaprigra.com’, ‘pietabyew.org’, ‘prostaffcover.org’, ‘psybehavconf.com’, ‘raxpoprig.org’, ‘reftospy.com’, ‘requestspatchcopy.net’, ‘returnselfdata.net’, ‘saghughap.com’, ‘sendhostargs.com’, ‘setproxytrue.net’, ‘simleasip.org’, ‘sizarebabrhino.org’, ‘slacksfulgurbairn.org’, ‘sobcozsee.com’, ‘soborsshe.com’, ‘socalstrategy.info’, ’towegospa.com’, ’trekpoofedbange.org’, ’tryledsox.com’, ’tucklocsqueal.org’, ‘weblangdata.com’, ‘yehmaways.com’], ‘redirectors’: [‘hxxps://admin.artemood.com/vendor/plugx/.php’, ‘hxxps://mittalcpa.com/wp-content/plugins/bungs/.php’, ‘hxxps://esclerosemultiplario.com.br/wp-content/plugins/areada/.php’, ‘hxxps://myoseguridad.net/prueba/phantomrise/.php’, ‘hxxps://esourcesol.com/wp-content/plugins/leykos/.php’, ‘hxxps://cranium.id/plugins/unite/.php’]}

---

🔗 Source originale : https://blog.sekoia.io/ngo-reporters-without-borders-targeted-by-calisto-in-recent-campaign/