{"id":1557962,"date":"2025-02-27T13:39:13","date_gmt":"2025-02-27T15:39:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-spatiaux-ciblent-les-entreprises-informatiques-russes-avec-un-agent-malveillant-new-luckystrike\/"},"modified":"2025-02-27T13:39:18","modified_gmt":"2025-02-27T15:39:18","slug":"les-pirates-spatiaux-ciblent-les-entreprises-informatiques-russes-avec-un-agent-malveillant-new-luckystrike","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-spatiaux-ciblent-les-entreprises-informatiques-russes-avec-un-agent-malveillant-new-luckystrike\/","title":{"rendered":"Les pirates spatiaux ciblent les entreprises informatiques russes avec un agent malveillant New Luckystrike"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 f\u00e9vrier 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 malveillante \/ r\u00e9seau<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Les-pirates-spatiaux-ciblent-les-entreprises-informatiques-russes-avec-un.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur de menace connu sous le nom de Space Pirates a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne malveillante ciblant les organisations de technologies de l&#8217;information russe (TI) avec un logiciel malveillant auparavant sans papiers appel\u00e9 Luckystrike Agent.<\/p>\n<p>L&#8217;activit\u00e9 a \u00e9t\u00e9 d\u00e9tect\u00e9e en novembre 2024 par Solar, la branche de cybers\u00e9curit\u00e9 de la soci\u00e9t\u00e9 de t\u00e9l\u00e9communications d&#8217;\u00c9tat russe Rostelecom. Il suit l&#8217;activit\u00e9 sous le nom d&#8217;Erudite Mogwai.<\/p>\n<p>Les attaques sont \u00e9galement caract\u00e9ris\u00e9es par l&#8217;utilisation d&#8217;autres outils comme Deed Rat, \u00e9galement appel\u00e9e ShadowPad Light, et une version personnalis\u00e9e de <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/ph4ntonn\/Stowaway\/blob\/master\/README_EN.md\" target=\"_blank\">utilitaire proxy<\/a> Nomm\u00e9 Stowaway, qui a d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9 par d&#8217;autres groupes de piratage li\u00e9s \u00e0 la Chine.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/encrypted-attacks-report-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Erudite Mogwai est l&#8217;un des groupes APT actifs sp\u00e9cialis\u00e9s dans le vol d&#8217;informations confidentielles et d&#8217;espionnage&#8221;, chercheurs solaires <a rel=\"noopener nofollow\" href=\"https:\/\/rt-solar.ru\/solar-4rays\/blog\/5261\/\" target=\"_blank\">dit<\/a>. &#8220;Depuis au moins 2017, le groupe attaque les agences gouvernementales, les services informatiques de diverses organisations, ainsi que les entreprises li\u00e9es \u00e0 des industries de haute technologie telles que l&#8217;a\u00e9rospatiale et l&#8217;\u00e9nergie \u00e9lectrique.&#8221;<\/p>\n<p>L&#8217;acteur de menace a d&#8217;abord \u00e9t\u00e9 document\u00e9 publiquement par des technologies positives en 2022, d\u00e9taillant son utilisation exclusive du malware de rat de Deed. On pense que le groupe partage des chevauchements tactiques avec un autre groupe de piratage appel\u00e9 Webworm. Il est connu pour cibler les organisations en Russie, en G\u00e9orgie et en Mongolie.<\/p>\n<p>Dans l&#8217;une des attaques ciblant un client du secteur gouvernemental, Solar a d\u00e9clar\u00e9 avoir d\u00e9couvert l&#8217;attaquant d\u00e9ploiement de divers outils pour faciliter la reconnaissance, tout en abandonnant Luckystrike Agent, une porte d\u00e9rob\u00e9e .NET multifonctionnelle qui utilise Microsoft OneDrive pour la commande et le contr\u00f4le (C2).<\/p>\n<p>&#8220;Les attaquants ont eu acc\u00e8s \u00e0 l&#8217;infrastructure en compromettant un service Web accessible au public au plus tard en mars 2023, puis ont commenc\u00e9 \u00e0 chercher des` `fruits bas &#8221; dans l&#8217;infrastructure&#8221;, a d\u00e9clar\u00e9 Solar. &#8220;Au cours de 19 mois, les attaquants se sont lentement r\u00e9pandus sur les syst\u00e8mes du client jusqu&#8217;\u00e0 ce qu&#8217;ils atteignent les segments de r\u00e9seau connect\u00e9s \u00e0 la surveillance en novembre 2024.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Cybers\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/02\/1738390842_400_Meta-confirme-lattaque-de-logiciels-spyware-zero-clique.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Il convient \u00e9galement de noter l&#8217;utilisation d&#8217;une version modifi\u00e9e de Stowaway pour conserver uniquement ses fonctionnalit\u00e9s de proxy, ainsi que LZ4 comme algorithme de compression, incorporant XXTEA comme algorithme de chiffrement et ajoutant un support pour le protocole de transport Quic.<\/p>\n<p>&#8220;Erudite Mogwai a commenc\u00e9 leur voyage dans la modification de cet utilitaire en r\u00e9duisant la fonctionnalit\u00e9 dont ils n&#8217;avaient pas besoin&#8221;, a d\u00e9clar\u00e9 Solar. &#8220;Ils ont continu\u00e9 avec des modifications mineures, telles que le renommer des fonctions et la modification des tailles des structures (probablement pour \u00e9liminer les signatures de d\u00e9tection existantes). Pour le moment, la version de Stowaway utilis\u00e9e par ce groupe peut \u00eatre appel\u00e9e une fourche \u00e0 part enti\u00e8re.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gazouillement <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/space-pirates-targets-russian-it-firms.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 f\u00e9vrier 2025\ue804Ravie LakshmananS\u00e9curit\u00e9 malveillante \/ r\u00e9seau L&#8217;acteur de menace connu sous le nom de Space Pirates a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne malveillante ciblant les organisations de technologies de l&#8217;information russe (TI) avec un logiciel malveillant auparavant sans papiers appel\u00e9 Luckystrike Agent. L&#8217;activit\u00e9 a \u00e9t\u00e9 d\u00e9tect\u00e9e en novembre 2024 par Solar, la branche de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1557963,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[274266,274265,11419,84,5863,4168,79002,274264,4161,274263,6124,3244,8154,65,283246,7733,274267,4160,4394,248,238617,246491,4172,16555,79016,4166,4164],"class_list":["post-1557962","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-de-piratage","tag-actualites-des-pirates","tag-agent","tag-avec","tag-ciblent","tag-comment-pirater","tag-cyber-security-news","tag-cyber-security-news-aujourdhui","tag-cyber-mises-a-jour","tag-cyber-nouvelles","tag-cyberattaques","tag-entreprises","tag-informatiques","tag-les","tag-luckystrike","tag-malveillant","tag-malware-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-pirates","tag-russes","tag-securite-de-linformation","tag-securite-du-reseau","tag-securite-informatique","tag-spatiaux","tag-the-hacker-news","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557962","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1557962"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1557962\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1557963"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1557962"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1557962"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1557962"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}