L'Anssi a observé plusieurs campagnes d’hameçonnage contre des entités françaises depuis février 2021, dont les marqueurs techniques correspondent au mode opératoire de Nobelium, le groupe auquel est attribué la retentissante affaire SolarWinds aux États-Unis l'an dernier, rapporte l'AFP.

« Ces campagnes ont permis de compromettre des comptes de messagerie d’organisations françaises, et d’envoyer à partir de ces comptes des courriels piégés à des institutions étrangères du secteur de la diplomatie », précise son rapport. « Par ailleurs, des organisations publiques françaises ont également été destinataires de messages piégés provenant d’institutions étrangères supposément compromises ». 

Ces activités malveillantes sont le fait d’un même mode opératoire d’attaquants (MOA), qui compromet des comptes de messagerie d’entités de confiance pour envoyer ses courriels d’hameçonnage.

Dans ces derniers se trouve une pièce-jointe HTML, nommée « EnvyScout », contenant un lien Google Drive que l’utilisateur devait ouvrir pour télécharger le code malveillant et exécuter la charge Cobalt Strike.

L'infrastructure utilisée par Nobelium dans les attaques contre des entités françaises a été principalement mise en place à l'aide de serveurs privés virtuels (VPS) de différents hébergeurs (privilégiant les serveurs d'OVH et situés à proximité des pays ciblés), précise Bleeping Computer.

Le rapport de l'ANSSI détaille les informations techniques liées aux campagnes d’hameçonnage, la nature des activités malveillantes observées, les TTP et l’infrastructure des attaquants. 

Des recommandations et indicateurs de compromission sont disponibles à la fin du document, recommandant de « ne pas éxécuter des fichiers douteux », et d'« appliquer des mesures de sécurité renforcée » aux serveurs d'Active Directory.