L’équipe Threat Research de Proofpoint a identifié deux acteurs cybercriminels spécialisés dans les fausses mises à jour, y compris sur macOS.
Proofpoint annonce avoir identifié deux nouveaux acteurs du cybercrime, TA2726 et TA2727, spécialisés dans les campagnes d’injection web.
« Historiquement, TA569 était le principal distributeur de campagnes d’injection Web, ses injections SocGholish entraînant l’installation de logiciels malveillants et des attaques de ransomware ultérieures » explique l’équipe de chercheurs. « Cet acteur est devenu presque synonyme de « fausses mises à jour » au sein de la communauté de la sécurité ».
TA569, également connu sous la dénomination Mustard Tempest, est un courtier d’accès initial qui exploite le réseau de distribution SocGholish depuis au moins 2017. Depuis 2023, le secteur a observé l’émergence de plusieurs imitateurs utilisant les mêmes techniques d’injection Web et de redirection de trafic.
C’est donc le cas de TA2726 et TA2727. Le premier agit en tant que service de distribution de trafic, qui peut servir à d’autres acteurs de la menace pour faciliter la distribution de leurs logiciels malveillants. Il est actif depuis au moins septembre 2022. Le second a été repéré « lors d’une campagne début janvier 2025 alors que [Proofpoint] enquêtait sur une chaîne d’attaque TA569 qui semblait fournir différentes charges utiles en fonction de la géographie des destinataires ». En l’occurrence, à TA569 l’Amérique du Nord, à TA2727 la redirection vers les autres pays, notamment l’Europe.
Ces deux acteurs nouvellement identifiés ont été observés dans de nombreuses chaînes d’attaques basées sur le Web, y compris celles utilisant de fausses mises à jour. TA2727 a ainsi livré récemment un nouvel infostealer, FrigidStealer, ciblant les Mac.
