Un nouveau malware russe cible diplomates et journalistes : comment les hackers volent leurs documents

Un groupe de hackers russes lance une nouvelle cyberattaque avancée contre des cibles occidentales. Cela ressort d’un rapport de Google Threat Intelligence, publié le 7 mai.

Le groupe, connu sous le nom de COLDRIVER, utilise le malware LOSTKEYS pour voler des documents confidentiels et des informations système. Selon Google, cela marque une nette escalade de leurs tactiques : passant de simples campagnes de phishing à des attaques ciblées et avancées.

Comment fonctionne l’attaque LOSTKEYS

LOSTKEYS est installé en quatre étapes. L’attaque commence par un faux site web qui attire les visiteurs avec un faux CAPTCHA. Dès qu’une victime répond, un script PowerShell est copié dans le presse-papiers de l’utilisateur. Ce script trompe l’appareil pour télécharger le malware. Enfin, LOSTKEYS s’installe lui-même et les attaquants accèdent au système.

Une fois actif, le malware collecte différents types de fichiers dans les dossiers du système et les envoie, avec les informations système et les processus actifs, à COLDRIVER. Selon Google, l’adresse IP d’au moins une attaque provenait de l’adresse 165.227.148[.]68.

Google intervient

Pour prévenir d’autres dommages, Google a pris des mesures. Les sites web malveillants utilisés pour diffuser LOSTKEYS ont été ajoutés à la fonction de navigation sécurisée de l’entreprise. Ainsi, les utilisateurs sont désormais automatiquement avertis lorsqu’ils tentent de visiter ces pages.

Qui est COLDRIVER ?

COLDRIVER est un groupe de hackers soutenu par la Russie qui cible des diplomates, des journalistes, des organisations de défense et d’autres cibles sensibles en Occident. Auparavant, en janvier 2024, le groupe avait déjà mené une attaque avec le malware Spica, capable d’exécuter des commandes et de télécharger ou d’uploader des logiciels externes sur des systèmes infectés.

La campagne LOSTKEYS montre que COLDRIVER applique désormais des techniques d’attaque plus avancées, augmentant ainsi le risque pour les gouvernements et les institutions.

Le secteur crypto également fortement touché

La menace des cyberattaques ne se limite pas aux cibles gouvernementales. Le secteur de la crypto est également durement touché. Rien que dans le premier trimestre de 2025, plus de 2 milliards de dollars d’actifs numériques ont été volés, plus que durant toute l’année 2024. Selon la société de cybersécurité Hacken, les failles de sécurité d’accès et les erreurs opérationnelles représentent toujours de grands risques pour les plateformes cryptographiques centralisées et décentralisées.

L’un des plus grands incidents de cette année a impliqué la bourse de crypto-monnaies Bybit, où plus de 1,5 milliard de dollars ont été volés en février. Cette attaque est attribuée au groupe Lazarus, un collectif de hackers lié à la Corée du Nord.

La menace s’accroît

L’émergence de malwares tels que LOSTKEYS montre que la menace numérique évolue — et cible à la fois les institutions étatiques et les plateformes commerciales. Les experts prévoient que le nombre d’attaques ciblées augmentera en 2025, en raison des tensions géopolitiques et de l’augmentation de la valeur des actifs numériques.