6 septembre 2025 – Un groupe de cyberespionnage, probablement d’origine russe et identifié par Seqrite Labs sous le nom de Noisy Bear, mène une campagne malveillante dirigée contre les infrastructures énergétiques du Kazakhstan, notamment KazMunaiGas (KMG). Baptisée Operation BarrelFire, cette attaque est active depuis au moins avril 2025 et démontre un mélange sophistiqué d’ingénierie sociale et de déploiement de malwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec avancé. The Hacker NewsSC Media
1. Technique d’infection par spear-phishing
L’attaque débute par un courriel de spear-phishing, envoyé via une adresse compromise appartenant à un employé du département financier de KMG. L’objet évoque une urgence autour de la mise à jour de la grille salariale, renforçant l’apparence d’un envoi interne. The Hacker NewsSC Media
Le message inclut un fichier ZIP malveillant, composé d’un document factice, d’un fichier README.txt (en russe et kazakh) invitant à exécuter un programme appelé KazMunayGaz_Viewer, ainsi que d’un raccourci Windows (.LNK) faisant office de dropper. The Hacker NewsMalwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec Analysis, News and Indicators
2. Chaîne d’attaque en plusieurs étapes
Le fichier LNK déclenche un script batch malveillant, ouvrant la voie à l’exécution d’un loader PowerShell nommé DOWNSHELL.
Ce loader installe ensuite un implant DLL 64 bits, chargé via injection réflexive dans la mémoire du système.
L’implant déclenche un reverse shell pour établir un canal C2 clandestin, permettant exfiltration, reconnaissance et persistance. The Hacker NewsSC Media
Des techniques de contournement sont employées, notamment le bypass d’AMSI (Antimalware Scan Interface) et l’injection de shellcode via le processus
rundll32.exe. SC Media
3. Infrastructure malveillante et attribution
L’ensemble de l’infrastructure C2 est hébergé chez Aeza Group, un fournisseur russe de bulletproof hosting récemment sanctionné par les États-Unis pour complicité dans des activités malveillantes. The Hacker NewsSC Media
L’analyse des artefacts linguistiques (russe) et le choix de la cible (secteur énergétique) renforcent les soupçons d’un acteur soutenu ou inspiré par des intérêts étatiques russes. MalwareLogiciel malveillant conçu pour endommager, voler ou espionner. Un cheval de Troie bancaire récupère vos identifiants. Symantec Analysis, News and Indicators
4. En parallèle : similitudes avec d’autres campagnes régionales
Des campagnes menées par d’autres groupes, comme le collectif Ghostwriter (alias FrostyNeighbor ou UNC1151, lié à la Biélorussie), utilisent des tactiques similaires :
Envoi d’archives ZIP/RAR contenant des documents Excel avec macros VBA, drop et injection de DLL, reconnaissance et exfiltration via serveurs C2.
Variation récente : distribution d’un fichier CAB avec un LNK, extraction silencieuse du DLL, suivi par le déploiement d’un Cobalt Strike Beacon pour contrôle prolongé.
Cela suggère une tendance partagée dans l’évolution des attaques ciblées dans la région. The Hacker NewsSC Media
5. Tableau récapitulatif
| Étape | Description |
|---|---|
| Cible | Employés de KazMunaiGas (KMG) |
| Méthode initiale | Email de spear-phishing avec pièce jointe ZIP |
| Faux document | Lettres sur salaire, politique interne, authentiques visuellement |
| Infection | LNK → Batch → DOWNSHELL (PowerShell) → DLL implant |
| Techniques d’évasion | Bypass AMSI, injection en mémoire, infrastructure BPH |
| Hébergement C2 | Serveurs chez Aeza Group (Hosting sanctionné) |
| Suspect | Groupe russe “Noisy Bear” actif depuis avril 2025 |
6. Recommandations de cybersécurité
Renforcer la vigilance contre le phishingHameçonnage par emails frauduleux imitant un service officiel. Email se faisant passer pour votre banque. PhishTank interne : former les employés à reconnaître les courriels suspects (sollicitant des actions urgentes, imitant la communication interne).
Contrôler les pièces jointes exécutables : bloquer ou analyser systématiquement les archives ZIP, fichiers LNK, BAT ou VBA entrants.
Limiter l’exécution PowerShell ou DLL non autorisée : implémenter l’exécution via AppLocker/WDAC ou solutions EDROutil surveillant et réagissant aux menaces sur les terminaux. CrowdStrike bloque une attaque en temps réel. Gartner.
Surveiller les tentatives de bypass d’AMSI : détecter les comportements anormaux de PowerShell ou des injections réflexives.
Bloquer les serveurs hébergés sur infrastructure sanctionnée : signaler et bloquer l’accès aux IP/domain suspectes.
Effectuer des tests internes : simuler cette chaîne d’attaque en environnement contrôlé pour renforcer les mesures préventives.
Conclusion
Operation BarrelFire marque une offensive sophistiquée contre le secteur énergétique kazakh, démontrant un haut niveau de ciblage, d’ingénierie sociale et de furtivité technique. Noisy Bear illustre un modèle d’espionnage combinant crédibilité visuelle et attaques post-compromission avancées, dans un contexte de tensions géopolitiques. Les organisations concernées doivent impérativement renforcer leurs défenses, adopter une posture résiliente et anticiper ce type de campagne ciblée.