Picus Security analyse les opérations du groupe APT41

La société de cybersécurité Picus Security a publié une analyse détaillée du groupe de menace prolifique connu sous le nom d'APT41. Le rapport expose l'historique opérationnel du groupe, ses tactiques et techniques sophistiquées, ainsi que les méthodes employées pour mener des cyberattaques persistantes.

APT41 est actif depuis au moins 2007, se distinguant par la conduite simultanée de cyber-espionnage et d'opérations de cybercriminalité à motivation financière, une double approche observée depuis 2014. Le groupe cible un large éventail de secteurs, notamment les gouvernements des États américains, les entreprises mondiales de transport maritime et de logistique, ainsi que les entreprises technologiques.

Le groupe démontre une compétence remarquable dans l'exploitation des vulnérabilités, notamment en exploitant la vulnérabilité critique Log4Shell (CVE-2021-44228) quelques heures après sa divulgation publique. APT41 utilise fréquemment des applications accessibles publiquement comme vecteur d'accès initial, exploitant à la fois les vulnérabilités n-day et zero-day dans les logiciels de fournisseurs tels que Citrix et Zoho. Une fois à l'intérieur, ils utilisent des processus de livraison complexes et multi-étapes pour les charges utiles, s'appuyant souvent sur des utilitaires Windows intégrés pour maintenir un accès à long terme.

L'analyse de Picus Security souligne l'évolution continue d'APT41 et sa capacité à s'adapter aux mesures défensives. Le groupe emploie des techniques avancées pour échapper à la détection, telles que des injecteurs personnalisés pour contourner la journalisation et exfiltrer des données vers des services cloud légitimes afin de se fondre dans le trafic réseau normal. Des membres du groupe ont été mis en examen par le ministère de la Justice américain en 2020 pour des chefs d'accusation incluant l'accès non autorisé à des ordinateurs.