Des groupes de piratage d’États-nations alignés sur la Chine, l’Iran, la Corée du Nord et la Turquie ciblent les journalistes pour espionner et diffuser des logiciels malveillants dans le cadre d’une série de campagnes depuis le début de 2021.
« Le plus souvent, les attaques de phishing ciblant les journalistes sont utilisées à des fins d’espionnage ou pour obtenir des informations clés sur le fonctionnement interne d’un autre gouvernement, d’une entreprise ou d’un autre domaine d’importation désigné par l’État », Proofpoint a dit dans un rapport partagé avec The Hacker News.
Le but ultime des intrusions, a déclaré la société de sécurité d’entreprise, est d’acquérir un avantage concurrentiel en matière de renseignement ou de diffuser de la désinformation et de la propagande.
Proofpoint a déclaré avoir identifié deux groupes de piratage chinois, TA412 (alias Zirconium ou Judgment Panda) et TA459ciblant le personnel des médias avec des e-mails malveillants contenant respectivement des balises Web et des documents militarisés qui ont été utilisés pour collecter des informations sur les environnements réseau des destinataires et déposer Chinoxy logiciels malveillants.
Dans le même ordre d’idées, le groupe Lazarus, affilié à la Corée du Nord (alias TA404), a ciblé une organisation médiatique américaine anonyme avec un leurre de phishing sur le thème de l’offre d’emploi à la suite de sa couverture critique du chef suprême Kim Jong Un, reflétant une fois de plus la menace de l’acteur recours continu à la technique pour atteindre ses objectifs.
Des journalistes et des médias basés aux États-Unis ont également été attaqués par un groupe de piratage pro-turc connu sous le nom de TA482, qui a été lié à une attaque de collecte d’informations d’identification conçue pour siphonner les informations d’identification de Twitter via de fausses pages de destination.
« Les motivations derrière ces campagnes […] pourrait inclure l’utilisation des comptes compromis pour cibler les contacts d’un journaliste sur les réseaux sociaux, utiliser les comptes à des fins de défiguration ou pour diffuser de la propagande », ont théorisé les chercheurs.
Enfin, Proofpoint a mis en évidence les tentatives de plusieurs acteurs APT iraniens tels que Charming Kitten (alias TA453) en se faisant passer pour des journalistes pour inciter les universitaires et les experts politiques à cliquer sur des liens malveillants qui redirigent les cibles vers des domaines de collecte d’informations d’identification.
Rejoindre également cette liste est un acteur de la menace nommé Tortoiseshell (alias TA456 ou Imperial Kitten) qui aurait « régulièrement » usurpé l’identité d’organisations médiatiques comme Fox News et le Guardian pour envoyer des e-mails sur le thème de la newsletter contenant des balises Web.
Le troisième adversaire aligné sur l’Iran à suivre une approche identique est TA457, qui s’est fait passer pour un « iNews Reporter » pour fournir une porte dérobée DNS basée sur .NET au personnel des relations publiques d’entreprises aux États-Unis, en Israël et en Arabie saoudite.
Le fait que les journalistes et les médias soient devenus le lieu d’attaques est souligné par leur capacité à offrir « un accès et des informations uniques », ce qui en fait des cibles lucratives pour les efforts de collecte de renseignements.
« Une attaque réussie et opportune contre le compte de messagerie d’un journaliste pourrait fournir des informations sur des histoires sensibles et naissantes et sur l’identification de la source », ont déclaré les chercheurs. « Un compte compromis pourrait être utilisé pour diffuser de la désinformation ou de la propagande pro-étatique, fournir de la désinformation en temps de guerre ou de pandémie, ou être utilisé pour influencer une atmosphère politiquement chargée. »