Red Stinger, un mystérieux groupe cybercriminel actif en Ukraine
Malwarebytes a révélé de nombreux détails sur ce nouveau groupe étatique, actif depuis au moins 2020 et attaquant à la fois des cibles russes et ukrainiennes
Malwarebytes a publié, le 10 mai 2023, une longue analyse sur un nouvel acteur malveillant étatique, qu’elle a baptisé Red Stinger, actif en Ukraine depuis au moins 2020. Un ancien salarié de Malwarebytes lui a signalé, en septembre 2022, la découverte d’un outil de phishing inédit, qui a déclenché une enquête poussée.
Récemment, Kaspersky a mis en ligne son propre compte-rendu de cette attaque. Cela a poussé Malwarebytes à détailler toutes les informations recueillies sur Red Stinger. « Notre enquête pourrait être utile à la communauté car nous fournirons de nouvelles données non divulguées sur le groupe. Nous avons identifié des attaques du groupe à partir de 2020, ce qui signifie qu’il est resté sous les radars pendant au moins trois ans », précise Malwarebytes.
La société de cybersécurité détaille les cinq campagnes d’attaques qu’elle a pu attribuer à Red Stinger, toutes situées en Ukraine, avant et après le début de la guerre. « Des entités militaires, de transport et d’infrastructure critique ont été ciblées, ainsi que des entités [russes, NDLR] impliquées dans les référendums de septembre 2022 dans l’Est de l’Ukraine », précise Malwarebytes.
Au cours de ces campagnes, des techniques d’attaque par phishing variées ont été utilisées, avec des outils spécifiques et jamais observés précédemment. Les attaquants ont, suivant les cas, récupéré des captures d’écran, des fichiers, des clones de clé USB, des frappes de clavier, ou même des enregistrements de microphone.
Toutes ces attaques ciblaient des entités précises : la majorité étaient russes, mais Red Stinger a également visé quelques cibles ukrainiennes. Dans tous les cas, la surveillance et les informations collectées avaient un intérêt stratégique fort dans le cadre du conflit entre l’Ukraine et la Russie.
Red Stinger privilégie par ailleurs l’anglais comme langue par défaut de ses logiciels malveillants, et utilise l’échelle de température Fahrenheit, présente aujourd’hui surtout aux États-Unis. Cela laisse supposer l’implication d’acteurs anglophones, probablement américains.
Mais rien ne permet encore d’attribuer les attaques de Red Stinger à un pays. « N’importe quel pays impliqué ou groupe allié pourrait être responsable, car certaines victimes étaient alignées sur la Russie et d’autres sur l’Ukraine », reconnaît Malwarebytes.