Depuis la mi-2022, un nouveau type de backdoor appelé Kapeka a été détecté ciblant l’Europe de l’Est, notamment l’Estonie et l’Ukraine. Ce logiciel malveillant a été identifié par la société finlandaise de cybersécurité WithSecure, qui l’attribue au groupe de menace persistante avancée (APT) lié à la Russie connu sous le nom de Sandworm. Ce groupe est également suivi par Microsoft sous le nom de KnuckleTouch.
Kapeka est multifonctionnel : il agit comme une porte dérobée flexible, offrant des fonctionnalités nécessaires pour lancer des attaques initiales et maintenir un accès à long terme aux réseaux infiltrés. Le logiciel commence par installer un « dropper » qui déploie la composante backdoor dans l’hôte infecté, puis se supprime pour éviter toute trace.
La porte dérobée est une DLL Windows écrite en C++, masquée en tant qu’add-in de Microsoft Word pour paraître légitime. Cette DLL recueille des informations sur l’hôte compromis, gère les instructions entrantes en multi-thread et exfiltre les résultats vers le serveur C2 du pirate.
Microsoft a signalé que Kapeka a été impliqué dans plusieurs campagnes de distribution de ransomware et peut réaliser diverses fonctions, comme voler des identifiants, lancer des attaques destructrices et permettre un accès à distance.
Les similitudes entre Kapeka, GreyEnergy et Prestige indiquent une évolution des outils de Sandworm, avec Kapeka émergeant probablement comme un successeur direct de GreyEnergy. Ce lien suggère un usage continu et sophistiqué des backdoors par le groupe pour faciliter des intrusions majeures.
Pour ceux concernés par une telle menace, il est conseillé de renforcer les mesures de détection des anomalies et d’utiliser des solutions de cybersécurité avancées pour surveiller et protéger les réseaux contre de telles intrusions discrètes et sophistiquées.
Pour rendre ce concept technique plus accessible, imaginez Kapeka comme un cambrioleur qui possède la clé de plusieurs maisons et qui sait se déguiser en invité légitime pour ne pas éveiller les soupçons. Une fois à l’intérieur, il peut exécuter les ordres de ses commanditaires à distance, tout en restant caché.
En bref, la menace que représente Kapeka est réelle et témoigne du niveau de sophistication atteint par les cybercriminels. La vigilance et une solide stratégie de cybersécurité sont nos meilleurs alliés pour protéger nos informations précieuses.
