Bashe (ex-APT73) – Profil d’un acteur RaaS émergent

Source : SuspectFile – Inside Bashe: The Interview with the Ransomware Group Known as APT73
https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/

Résumé exécutif

Le groupe Bashe, précédemment identifié sous le nom APT73, est un acteur RaaS (Ransomware-as-a-Service) qui s’inscrit dans la nouvelle génération d’opérations structurées autour d’un modèle d’affiliation centralisé.

Le rebranding vers “Bashe” ne serait pas lié à une pression policière ou à une compromission d’infrastructure, mais à un repositionnement identitaire. Le nom fait référence à une créature mythologique chinoise (serpent géant dévoreur d’éléphants), en cohérence avec leur rhétorique : cibler de grandes entreprises solvables.

Le groupe met en avant :

Une gouvernance centralisée (“single core”)
Un contrôle total des négociations et de la plateforme de fuite
Une sélection économique des affiliés (0.25 BTC d’entrée)
Une interdiction d’attaquer les pays CIS et les secteurs santé/éducation
Une orientation exclusive vers le profit

Modèle Opérationnel

Structure

RaaS avec contrôle central de la plateforme de négociation
Supervision des affiliés
Publication des données exfiltrées sur leur blog
Utilisation de négociateurs professionnels

Sélection des affiliés

Frais d’entrée : 0.25 BTC
- Filtrage anti-infiltration
- Mécanisme de monétisation
- Test de “sérieux”
Validation par démonstration de compétences pratiques

Chaîne criminelle

Collaboration avec Initial Access Brokers (IABs)
Exploitation possible de complicité interne (employés mécontents)
Modèle intégré à l’écosystème cybercriminel contemporain

Ciblage

Exclusions déclarées

Santé (publique et privée)
Écoles
Pays de la CEI (CIS)

Rationale :

Protection des affiliés CIS
Logique d’autoprotection géopolitique
Normes informelles de l’écosystème russophone

Cibles privilégiées

Grandes entreprises solvables
Entreprises gouvernementales
Organisations capables de payer
Acteurs stratégiques

Critère principal : capacité financière

TTPs (déclarées)

⚠️ Les affirmations techniques restent génériques et non vérifiables.

Accès initial

Achat d’accès via IAB
Phishing
Exploitation d’initiés

Post-exploitation

Exfiltration de données
Chiffrement “full-stack”
Bypass EDR (déclaré)
Adaptation rapide aux nouvelles protections

Chiffrement

Déclare utiliser une encryption complète
Architecture de gestion des clés non divulguée
Possibilité d’approche hybride (non confirmée)

Négociation

Timer public sur la plateforme
Double monétisation possible :
- Rançon
- Vente aux concurrents

Positionnement stratégique

Rebranding APT73 → Bashe

Continuité opérationnelle revendiquée
Pas de rupture structurelle admise
Extension du réseau d’affiliés
Mise à jour constante des outils phishing/exfiltration

Dans l’écosystème ransomware, la frontière entre rebranding marketing et restructuration réelle reste opaque.

Analyse stratégique

1. Centralisation forte

Contrairement à certains RaaS plus décentralisés, Bashe :

Contrôle le panneau de communication
Supervise les messages des affiliés
Peut suspendre des opérations en cours

Cela réduit les risques d’erreurs opérationnelles.

2. Filtrage économique des affiliés

La barrière 0.25 BTC :

Réduit les infiltrations low-cost
Filtre les acteurs non professionnels
Crée un sentiment d’exclusivité

3. Narratif identitaire

Branding mythologique
Construction d’une réputation de fiabilité
Mise en avant de “respect des accords”

La réputation est un actif central dans le RaaS.

4. Logique purement financière

Le groupe assume ouvertement :

L’absence d’idéologie
L’intérêt pour la solvabilité
L’adaptation aux pays payeurs

Évaluation du risque

Bashe présente les caractéristiques d’un acteur :

Structuré
Opportuniste
Intégré dans la supply chain criminelle
Axé sur la rentabilité
Orienté vers des cibles solvables

Leur stratégie repose davantage sur :

Accès initial efficace
Pression psychologique via publication
Gouvernance centralisée
Sélection économique

que sur une innovation technique démontrée.

Points de vigilance pour les défenseurs

Surveillance des marchés IAB
Détection d’activités internes anormales
Contrôles d’accès privilégiés
Monitoring des plateformes de fuite
Maturité en négociation cyber
Protection contre exfiltration massive
Segmentation réseau et EDR avancé

Conclusion

Bashe (ex-APT73) incarne une évolution du modèle RaaS :

Professionnalisation
Branding stratégique
Gouvernance centralisée
Sélection économique des affiliés
Priorité absolue au profit

Dans un contexte de baisse des taux de paiement liés aux campagnes de masse, ce type d’acteur privilégie les cibles solvables et les attaques à fort levier financier plutôt qu’un volume élevé d’incidents opportunistes.

La continuité opérationnelle suggère un acteur établi plutôt qu’un groupe éphémère.

Il s’agit d’une mise en contexte visant à signaler la place de Bashe/APT73 dans l’écosystème des menaces. L’objectif principal est de cadrer le groupe au sein du RaaS.

🔗 Source originale : https://www.suspectfile.com/inside-bashe-the-interview-with-the-ransomware-group-known-as-apt73/

Bashe (ex-APT73) – Profil d’un acteur RaaS émergent#

Résumé exécutif#

Modèle Opérationnel#

Structure#

Sélection des affiliés#

Chaîne criminelle#

Ciblage#

Exclusions déclarées#

Cibles privilégiées#

TTPs (déclarées)#

Accès initial#

Post-exploitation#

Chiffrement#

Négociation#

Positionnement stratégique#

Rebranding APT73 → Bashe#

Analyse stratégique#

1. Centralisation forte#

2. Filtrage économique des affiliés#

3. Narratif identitaire#

4. Logique purement financière#

Évaluation du risque#

Points de vigilance pour les défenseurs#

Conclusion#