Pas de trêve des confiseurs pour les cyberpirates. Dans le viseur de Microsoft et de son équipe de chercheurs en threat intelligence depuis février dernier, le cybergang Peach Sandstorm (aka Holmium, Elfin et APT33) bénéficiant du soutien de l'Iran est une nouvelle fois à la manoeuvre. Cette fois, le groupe tente de diffuser une porte dérobée, baptisée FalseFont, à des personnes travaillant dans des entreprises du secteur de l'industrie de la défense. « FalseFont est une porte dérobée personnalisée dotée d'un large éventail de fonctionnalités permettant aux opérateurs d'accéder à distance à un système infecté, de lancer des fichiers supplémentaires et d'envoyer des informations à ses serveurs C2 », a expliqué en fin de semaine dernière l'éditeur.
L'usage contre ces nouvelles cibles a été observée pour la première fois au début de novembre 2023 explique Microsoft. « Le développement et l'utilisation de FalseFont sont cohérents avec les activités de Peach Sandstorm observées par Microsoft au cours de l'année écoulée, ce qui suggère que Peach Sandstorm continue d'améliorer son savoir-faire », a prévenu la firme de Redmond. Pour rechercher dans leur environnement la présence de cette backdoor, l'éditeur recommande d'utiliser cet indicateur de compromission suivant C2 : Digitalcodecrafters[.]com SHA-256: 364275326bbfc4a3b89233dabdaf3230a3d149ab774678342a40644ad9f8d614.
Un cybergang en manoeuvre active depuis des mois
Ce n'est pas la première fois - loin de là - que Peach Sandstorm refait parler la poudre. D'après Microsoft, ce groupe de cybercriminels a toujours manifesté son intérêt pour les entreprises des secteurs de l'aérospatial et de la défense et ce depuis 2023. En septembre dernier, ce gang de cyberespions avait déjà utilisé une méthode de pulvérisation de mots de passe pour recueillir des renseignements sur des industries spatiales, de la défense et également pharmaceutiques.