WithSecure annonce la découverte du malware Kapeka, un logiciel malveillant lié au groupe de menace étatique russe Sandworm

Rueil-Malmaison, 17 avril 2024 – Les chercheurs de WithSecure™ (anciennement F-Secure Business) ont découvert Kapeka, un nouveau malware de type porte dérobée (backdoor), utilisé dans des attaques contre des cibles d’Europe de l'Est, et ce, au moins depuis le milieu de l'année 2022.

Ce malware pourrait être lié à un groupe connu sous le nom de Sandworm, un groupe prolifique de menace étatique russe, géré par la Direction Principale de l'Etat-Major Général des Forces Armées de la Fédération de Russie (GRU). Sandworm est tristement célèbre pour ses attaques destructrices contre l'Ukraine, dans un contexte de défense des intérêts russes dans la région.

Kapeka est une backdoor flexible, dotée de toutes les fonctionnalités nécessaires pour servir de boîte à outils à un stade initial pour ses opérateurs, tout en offrant un accès à long terme au domaine de la victime. La victimologie du logiciel malveillant, les observations peu fréquentes, et le niveau de rapidité et de sophistication indiquent une activité de niveau APT (Advanced Persistent Threat).

Le développement et le déploiement de Kapeka font suite au déclenchement de la guerre entre la Russie et l'Ukraine. Kapeka étant probablement utilisé dans des attaques ciblées contre des entreprises à travers l'Europe centrale et orientale depuis l'invasion illégale du territoire ukrainien en 2022.

« La backdoor Kapeka a suscité des inquiétudes en raison de son association avec l'activité APT russe, en particulier le groupe Sandworm. Sa rareté et sa nature ciblée, principalement observées en Europe de l'Est, suggèrent qu'il s'agit d'un outil sur-mesure utilisé dans des attaques de portée limitée. Une analyse plus approfondie a révélé des recoupements avec GreyEnergy, une autre boîte à outils liée à Sandworm, renforçant ainsi son lien avec le groupe et soulignant les implications potentielles pour les entités ciblées dans la région », déclare Mohammad Kazem Hassan Nejad, Chercheur chez WithSecure Intelligence.

Observé par WithSecure pour la dernière fois en mai 2023, il est rare que des groupes de menaces, en particulier des États-nations, cessent leurs opérations ou se débarrassent complètement de leurs outils. Par conséquent, les observations peu fréquentes de Kapeka peuvent être considérées comme un témoignage de son utilisation méticuleuse par une menace persistante avancée (APT) dans des opérations s'étalant sur plusieurs années, telles que la guerre entre la Russie et l'Ukraine.

Le document de recherche complet est disponible à l'adresse suivante : https://labs.withsecure.com/publications/kapeka.