WithSecure annonce la découverte du malware Kapeka, un logiciel malveillant lié au groupe de menace étatique russe Sandworm

Communiqué de presse | 17.04.2024

europe_data_map

Les lieux et le timing auxquels Kapeka a été repéré, ainsi que les liens possibles avec Sandworm, laissent penser que son développement et son utilisation sont liés à la guerre entre la Russie et l'Ukraine.

Rueil-Malmaison, 17 avril 2024 – Les chercheurs de WithSecure™ (anciennement F-Secure Business) ont découvert Kapeka, un nouveau malware de type porte dérobée (backdoor), utilisé dans des attaques contre des cibles d’Europe de l'Est, et ce, au moins depuis le milieu de l'année 2022.

Ce malware pourrait être lié à un groupe connu sous le nom de Sandworm, un groupe prolifique de menace étatique russe, géré par la Direction Principale de l'Etat-Major Général des Forces Armées de la Fédération de Russie (GRU). Sandworm est tristement célèbre pour ses attaques destructrices contre l'Ukraine, dans un contexte de défense des intérêts russes dans la région.

Kapeka est une backdoor flexible, dotée de toutes les fonctionnalités nécessaires pour servir de boîte à outils à un stade initial pour ses opérateurs, tout en offrant un accès à long terme au domaine de la victime. La victimologie du logiciel malveillant, les observations peu fréquentes, et le niveau de rapidité et de sophistication indiquent une activité de niveau APT (Advanced Persistent Threat).

Le développement et le déploiement de Kapeka font suite au déclenchement de la guerre entre la Russie et l'Ukraine. Kapeka étant probablement utilisé dans des attaques ciblées contre des entreprises à travers l'Europe centrale et orientale depuis l'invasion illégale du territoire ukrainien en 2022.

« La backdoor Kapeka a suscité des inquiétudes en raison de son association avec l'activité APT russe, en particulier le groupe Sandworm. Sa rareté et sa nature ciblée, principalement observées en Europe de l'Est, suggèrent qu'il s'agit d'un outil sur-mesure utilisé dans des attaques de portée limitée. Une analyse plus approfondie a révélé des recoupements avec GreyEnergy, une autre boîte à outils liée à Sandworm, renforçant ainsi son lien avec le groupe et soulignant les implications potentielles pour les entités ciblées dans la région », déclare Mohammad Kazem Hassan Nejad, Chercheur chez WithSecure Intelligence.

Observé par WithSecure pour la dernière fois en mai 2023, il est rare que des groupes de menaces, en particulier des États-nations, cessent leurs opérations ou se débarrassent complètement de leurs outils. Par conséquent, les observations peu fréquentes de Kapeka peuvent être considérées comme un témoignage de son utilisation méticuleuse par une menace persistante avancée (APT) dans des opérations s'étalant sur plusieurs années, telles que la guerre entre la Russie et l'Ukraine.

Le document de recherche complet est disponible à l'adresse suivante : https://labs.withsecure.com/publications/kapeka.

Relations médias WithSecure™
Inari ANTTILA
+358438240090

À propos de WithSecure™

WithSecure™, anciennement F-Secure Business, est le partenaire de choix en matière de cybersécurité en Europe. Avec la confiance des fournisseurs de services informatiques, des MSSP et des entreprises du monde entier, nous fournissons des solutions de cybersécurité axées sur les résultats qui protègent les entreprises de taille moyenne. Aligné sur la position européenne en matière de protection des données, WithSecure™ met l’accent sur la confidentialité, la souveraineté des informations et la conformité réglementaire.

Avec plus de 35 ans d'expérience dans le secteur, WithSecure™ a conçu son portefeuille pour naviguer dans le changement de paradigme, de la cybersécurité réactive à proactive. En alignement avec son engagement pour une croissance collaborative, WithSecure™ offre à ses partenaires des modèles commerciaux flexibles, garantissant un succès mutuel dans le paysage dynamique de la cybersécurité.

Au cœur des offres de pointe de WithSecure™ se trouve Elements Cloud, qui intègre de manière transparente des technologies alimentées par l'IA, une expertise humaine et des services de co-sécurité. De plus, il donne aux clients de taille moyenne des capacités modulaires couvrant la protection des points terminaux et du cloud, la détection et la réponse aux menaces, et la gestion des expositions.

WithSecure™ Corporation a été fondée en 1988 et est cotée sur le NASDAQ OMX Helsinki Ltd.