Une fausse note interne sur la reconversion du personnel militaire biélorusse cache un outil d’espionnage sophistiqué ciblant l’armée.
Des chercheurs de Cyble ont révélé une attaque de type espionnage contre les forces armées biélorusses. Déguisé en document PDF administratif, un logiciel malveillant crée un accès distant via SSH et le réseau Tor, rendant la détection quasi impossible. L’opération présente des similitudes techniques avec les outils du groupe APT Sandworm, lié historiquement à la Russie, mais aucune attribution définitive n’a été confirmée.
Une archive piégée déguisée en message officiel
Le fichier malveillant, intitulé « TLG for departure for retraining.pdf », semble destiné au personnel concerné par la création de la Force des systèmes aériens sans pilote (UAS). En réalité, il s’agit d’une archive contenant un raccourci Windows (LNK) et un dossier caché, FOUND.000. Ce raccourci exécute des commandes PowerShell qui décompressent un fichier nommé persistentHandlerHashingEncodingScalable.zip dans le répertoire %appdata%\logicpro.
Une fois lancé, le code malveillant analyse l’environnement pour détecter les bacs à sable et outils de sécurité. En cas de détection, il cesse toute activité. Sinon, il ouvre un faux document PDF tandis qu’en arrière-plan s’installe une porte dérobée complète.
Une persistance discrète et un accès chiffré
Le logiciel se maintient grâce à une tâche planifiée créée avec Register-ScheduledTask, s’exécutant à chaque ouverture de session, puis chaque jour à 10h21 UTC (13h21 à Moscou). Le cœur du dispositif repose sur githubdesktop.exe, exécutable signé par Microsoft, servant ici à faire tourner un service SSH sur le port 20321. L’accès à distance n’est autorisé qu’à l’aide d’une clé RSA pré-intégrée, garantissant le contrôle exclusif par les opérateurs.
Un canal SFTP personnalisé est parallèlement mis en place pour l’exfiltration des données. Le tout est encapsulé dans un service Tor caché, utilisant le protocole obfs4 pour chiffrer et dissimuler le trafic. Ce camouflage rend le flux réseau indiscernable d’une activité légitime, compliquant toute détection par les outils de surveillance classiques.
Des indices pointant vers Sandworm, sans certitude
Les analystes de Cyble ont constaté plusieurs similitudes entre cet implant et des outils attribués à Sandworm, un groupe APT réputé pour ses opérations contre l’Ukraine et des infrastructures critiques européennes. Cependant, aucune charge utile supplémentaire ni tentative d’exploitation ultérieure n’a été observée, ce qui laisse penser à une phase de reconnaissance.
Le choix de la thématique, la modernisation militaire et la formation du personnel biélorusse aux systèmes UAS, suggère une campagne ciblée contre les services internes du ministère de la Défense. L’usage de Tor et d’un exécutable Microsoft légitime traduit une approche axée sur la furtivité, privilégiant la persistance et la collecte de renseignements à long terme plutôt que le sabotage.
Un nouvel exemple de guerre hybride numérique
Cette opération illustre l’intégration croissante du cyber-espionnage dans les stratégies militaires et politiques de la région. En combinant leurres administratifs, signature logicielle authentique et chiffrement multicouche, les auteurs démontrent une parfaite compréhension des outils défensifs modernes.
Pour Minsk, cet épisode rappelle la vulnérabilité des réseaux internes face à des attaques ciblées utilisant des vecteurs humains (ingénierie sociale) et des couches d’anonymisation avancées. Dans un contexte géopolitique où la Biélorussie reste un relais clé entre Moscou et les zones de conflit, ces attaques soulignent le rôle croissant du renseignement numérique dans la compétition entre États.
Les futures analyses de Cyble ou d’autres laboratoires détermineront si ce nouvel outil appartient à une campagne inédite ou à une évolution des arsenaux de Sandworm. Reste à savoir si Minsk dispose des moyens techniques pour détecter et neutraliser une telle infiltration, profondément ancrée dans ses systèmes internes.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service
Sources
