Le groupe APT29, affilié à l’État russe, est à l’origine d’une campagne utilisant un loader inédit baptisé GRAPELOADER, associé à une version mise à jour de WINELOADER. Les cibles principales sont des entités diplomatiques en Europe et au Moyen-Orient. Les attaques reposent sur des courriels d’hameçonnage imitant des invitations à des dégustations de vin, envoyés depuis des domaines usurpés (bakenhof[.]com, silry[.]com). Les victimes recevaient une archive ZIP contenant un mécanisme de sideloading de DLL via un exécutable PowerPoint légitime. GRAPELOADER effectue une reconnaissance système, modifie le registre Windows pour assurer sa persistance et télécharge d’autres charges utiles. Selon les chercheurs de Check Point, il prépare le déploiement de WINELOADER. Cette campagne montre une amélioration dans les techniques d’évasion, notamment l’injection mémoire et le contournement des sandbox. Elle s’inscrit dans une dynamique plus large d’opérations russes, comme les campagnes USB de Gamaredon contre l’Ukraine.
Analyse de nos experts:
APT29 confirme son positionnement comme acteur structuré et discipliné du renseignement cyber, privilégiant une approche progressive, modulaire et discrète. GRAPELOADER illustre une volonté claire d’améliorer la chaîne d’infection, notamment en renforçant la furtivité et la capacité d’adaptation des charges utiles. Le choix d’un thème culturel comme prétexte (dégustation de vin) s’inscrit dans une stratégie bien connue, mais efficace dès lors que l’usurpation de domaine est crédible. L’opération n’est pas révolutionnaire sur le plan technique, mais elle témoigne d’un affinement des méthodes au service d’un objectif stratégique constant : l’accès pérenne à des environnements diplomatiques sensibles. Cette campagne s’inscrit dans une continuité et reflète les priorités persistantes du renseignement russe dans le contexte géopolitique actuel.
Lire l’article complet ici.
