L’unité des crimes numériques (DCU) de Microsoft a révélé la semaine dernière qu’elle avait engagé des poursuites judiciaires contre un acteur menaçant iranien surnommé Bohrium dans le cadre d’une opération de harponnage.
Le collectif contradictoire aurait ciblé des entités des secteurs de la technologie, des transports, du gouvernement et de l’éducation situées aux États-Unis, au Moyen-Orient et en Inde.
« Les acteurs de Bohrium créent de faux profils de réseaux sociaux, se faisant souvent passer pour des recruteurs », Amy Hogan-Burney de la DCU a dit dans un tweet. « Une fois les informations personnelles obtenues auprès des victimes, Bohrium a envoyé des e-mails malveillants avec des liens qui ont finalement infecté les ordinateurs de leur cible avec des logiciels malveillants. »
Selon un ordonnance ex parte partagé par le géant de la technologie, le but des intrusions était de voler et d’exfiltrer des informations sensibles, de prendre le contrôle des machines infectées et d’effectuer des reconnaissances à distance.
Pour stopper les activités malveillantes de Bohrium, Microsoft a déclaré avoir supprimé 41 domaines « .com », « .info », « .live », « .me », « .net », « .org » et « .xyz ». qui ont été utilisées comme infrastructure de commandement et de contrôle pour faciliter la campagne de harponnage.
La divulgation intervient alors que Microsoft a révélé qu’il avait identifié et désactivé l’activité OneDrive malveillante perpétrée par un acteur de menace auparavant non documenté nommé Polonium depuis février 2022.
Les incidents, qui impliquaient l’utilisation de OneDrive comme commande et contrôle, faisaient partie d’une plus grande vague d’attaques lancées par le groupe de piratage contre plus de 20 organisations basées en Israël et au Liban.