Selon un post LinkedIn de Pierre Delcher, un acteur de menace probablement étatique cible toujours des organisations en Europe en décembre, via des campagnes de phishing multicanal (WhatsApp + email), afin d’obtenir l’accès aux comptes Microsoft de cibles de grande valeur. Les victimes identifiées ou probables se trouvent principalement dans des ONG et des think-tanks, avec un intérêt spécifique pour les personnes ou entités impliquées dans des activités en Ukraine.

Le mode opératoire décrit combine des échanges sur messagerie (souvent WhatsApp) et par email, proposant la mise en place d’une « réunion importante ». Les emails contiennent une invitation à une réunion en ligne (typiquement sur Microsoft Teams), mais le lien est substitué afin de rediriger la cible vers un flux d’authentification Microsoft device code, nécessitant la saisie manuelle d’un code généré par l’attaquant. Cette manœuvre permet à l’acteur de détourner la session et de prendre le contrôle du compte Microsoft de la victime.

L’acteur a notamment utilisé un profil en ligne au nom de « Janis Cerny », se présentant comme un diplomate travaillant avec l’Union européenne. L’adresse email associée est « janiscerny[@]seznam[.]cz » et le profil/numéro WhatsApp est « [+42]0 735 596 5[65] ».

Des campagnes et techniques similaires ont déjà été documentées par Volexity (qui piste l’acteur sous l’identifiant UTA0352) et Elastic. La campagne est active en décembre et touche des organisations situées en Europe, avec un focus sur les activités liées à l’Ukraine.

IOCs:

  • Persona: “Janis Cerny” (prétend être diplomate UE)
  • Email: janiscerny[@]seznam[.]cz
  • WhatsApp: [+42]0 735 596 5[65]

TTPs:

  • Ingénierie sociale multicanal via WhatsApp et email pour instaurer la confiance
  • Invitation à une fausse réunion MS Teams avec lien remplacé
  • Abus du Microsoft device code flow (code saisi manuellement par la victime) pour hijacking de session/compte
  • Ciblage de HVT dans des ONG et think-tanks liés à l’Ukraine

Type d’article: analyse de menace visant à signaler une campagne en cours, ses tactiques et indicateurs, et à attribuer le lien avec des travaux antérieurs (Volexity/Elastic) 📣

🧠 TTPs et IOCs détectés

TTP

[‘Ingénierie sociale multicanal via WhatsApp et email pour instaurer la confiance’, ‘Invitation à une fausse réunion MS Teams avec lien remplacé’, ‘Abus du Microsoft device code flow pour hijacking de session/compte’, ‘Ciblage de HVT dans des ONG et think-tanks liés à l’Ukraine’]

IOC

{‘persona’: ‘Janis Cerny’, ’email’: ‘janiscerny[@]seznam[.]cz’, ‘whatsapp’: ‘[+42]0 735 596 5[65]’}

🔗 Source originale : https://www.linkedin.com/posts/drprr_likely-state-sponsored-threat-actor-is-still-activity-7407823036407709696-PG70/