Phantom Aid : Comment UAC-0247 détourne hôpitaux et gouvernements lors d’un vol de données furtif

Tout a commencé par un e-mail - un appel à un partenariat humanitaire, apparemment envoyé par une ONG réputée. Mais derrière la promesse d’aide se cachait un prédateur numérique : UAC-0247, un acteur malveillant à l’origine de l’une des campagnes de cyber-espionnage les plus audacieuses ayant frappé récemment les hôpitaux et agences gouvernementales ukrainiens. Alors que les réseaux municipaux tentaient de réagir, les preuves s’accumulaient : il ne s’agissait pas d’une simple tentative de phishing, mais d’une attaque calculée, mêlant ingénierie sociale, tromperie générée par IA et malware furtif pour siphonner des données sensibles au cœur du secteur public ukrainien.

En Bref

• UAC-0247 cible les hôpitaux et administrations locales avec des appâts de phishing personnalisés faisant référence à l’aide humanitaire.
• Les attaquants déploient des malwares sur mesure pour voler les identifiants de navigateurs et les données WhatsApp, à l’aide d’outils comme CHROMELEVATOR et ZAPIXDESK.
• Les charges malveillantes sont diffusées via des fichiers raccourcis (.LNK), des scripts HTA et des tâches planifiées, échappant ainsi à la détection classique.
• La campagne inclut des mécanismes de persistance avancés, des reverse shells chiffrés et des mouvements latéraux utilisant des outils publics et des tunnels furtifs.
• Le CERT-UA alerte sur la poursuite des attaques et recommande de restreindre l’exécution de scripts et de surveiller toute activité suspecte.

Une ruse humanitaire à la précision technique

La chaîne d’attaque commence dans les boîtes mail : des messages conçus pour ressembler à des propositions humanitaires urgentes, souvent accompagnés de liens vers de faux sites d’ONG générés par IA ou des sites légitimes compromis via cross-site scripting (XSS). D’un simple clic, les victimes téléchargent à leur insu une archive contenant un fichier raccourci (LNK). Dès que ce fichier est ouvert, il déclenche une séquence exploitant des utilitaires Windows comme mshta.exe pour exécuter des scripts cachés.

Ces scripts téléchargent d’autres charges utiles, établissant discrètement un point d’ancrage sur le système ciblé. Un faux formulaire peut s’afficher à l’écran, mais en arrière-plan, un chargeur personnalisé en deux étapes déploie un reverse shell fortement chiffré nommé RAVENSHELL. La communication avec les attaquants est chiffrée et furtive, permettant l’exécution de commandes à distance, le vol de fichiers et la prise de contrôle du système.

La phase finale déploie AGINGFLY - un outil d’administration à distance doté de modules de commande dynamiques, capable d’enregistrer les frappes clavier, de capturer des captures d’écran et d’exécuter du code arbitraire. Les attaquants maintiennent la persistance via des scripts PowerShell comme SILENTLOOP, qui utilisent astucieusement des canaux Telegram pour le commandement et contrôle de secours si l’infrastructure principale est bloquée.

Données de navigateur et WhatsApp dans le viseur

L’objectif final de UAC-0247 est le vol de données. Leur arsenal comprend CHROMELEVATOR, qui extrait mots de passe et cookies des navigateurs basés sur Chromium, et ZAPIXDESK, spécialisé dans le déchiffrement des bases de données WhatsApp sur ordinateur. Ces outils permettent le vol d’identifiants sensibles et de communications privées - potentiellement dévastateur pour les hôpitaux gérant des données patients ou les agences gouvernementales responsables d’infrastructures critiques.

Les attaquants ne s’arrêtent pas là. La reconnaissance s’effectue avec des scanners de sous-réseaux comme RUSTSCAN, tandis que des tunnels réseau furtifs sont établis via LIGOLO-NG et CHISEL. Dans certains cas, le groupe a même déployé des mineurs de cryptomonnaie dissimulés dans des applications VPN légitimes, transformant les hôtes compromis en sources de profit clandestines.

Se défendre face à une menace persistante

L’enquête du CERT-UA souligne l’urgence d’une hygiène cybernétique rigoureuse : restreindre l’exécution des types de fichiers à risque (LNK, HTA, JS), limiter l’usage des utilitaires de script et surveiller les connexions réseau suspectes ainsi que l’activité anormale des processus. Face à l’évolution des tactiques de UAC-0247, la défense proactive et la surveillance continue restent les meilleurs remparts contre une campagne qui ne montre aucun signe de ralentissement.

Alors que des cybercriminels comme UAC-0247 exploitent les crises humanitaires à des fins de pillage numérique, les institutions ukrainiennes font face à une réalité glaçante : même la promesse d’aide peut être un loup déguisé en agneau.

WIKICROOK

• Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou cliquer sur des liens malveillants.
• Reverse Shell : Un reverse shell est lorsqu’un ordinateur piraté se connecte secrètement à un attaquant, lui donnant le contrôle à distance et contournant les défenses de sécurité classiques.
• Mouvement latéral : Le mouvement latéral désigne la progression d’un attaquant, après avoir pénétré un réseau, vers d’autres systèmes ou données sensibles, étendant ainsi son contrôle.
• Cross : Le Cross-Site Scripting (XSS) est une cyberattaque où des pirates injectent du code malveillant dans des sites web pour voler des données ou détourner des sessions.
• DLL Side : DLL Side est une technique où les attaquants trompent des programmes pour charger des fichiers DLL malveillants, contournant la sécurité et obtenant un accès ou un contrôle non autorisé.