Opération Texonto : Opération d'information visant les locuteurs ukrainiens dans le contexte de la guerre

Points clefs de cette opération :

Un acteur malveillant aligné sur la Russie a diffusé de fausses informations liées à la guerre à des ressortissants ukrainiens par le biais de spams.

Une campagne d’hameçonnage ciblée (spearphishing) visait une entreprise de défense ukrainienne et une agence de l'UE.

En raison des similitudes des infrastructure réseau utilisée dans ces PSYOPs (opérations de manipulation psychologique) et ces opérations d'hameçonnage, les résultats des recherche d'ESET permettent d’affirmer qu'elles sont liées.

L'opération Texonto ressemble vaguement aux activités du groupe Callisto APT aligné sur les intérêts de la Russie. Cependant, ESET Research ne dispose pas suffisamment de preuves pour attribuer les opérations à un groupe spécifique.

Lors de la première vague d'e-mails de désinformation en novembre 2023, un groupe aligné sur les intérêts de la Russie a tenté de semer le doute dans l'esprit des Ukrainiens, en essayant de les convaincre que la Russie était en train de gagner la guerre. La deuxième vague en décembre 2023, était encore plus morbide.

Operation Texonto

ESET Research a récemment découvert l'opération Texonto, une campagne psychologique à visée de désinformation (PSYOPs) utilisant les spams comme principale méthode de distribution. Par le biais de messages envoyés en deux vagues, les acteurs alignés sur les intérêts de la Russie ont tenté d'influencer les citoyens ukrainiens et de leur faire croire que la Russie était en train de gagner la guerre. La première vague a eu lieu en novembre 2023 et la seconde fin décembre 2023. Le contenu des courriels portait sur les interruptions de chauffage, les pénuries de médicaments et les pénuries alimentaires, qui sont des thèmes typiques de la propagande russe. De plus, en octobre 2023, ESET a détecté une campagne de spearphishing ciblant une entreprise de défense ukrainienne. Une autre ciblait en novembre 2023 une agence de l'UE sur la base de fausses pages de connexion Microsoft. L'objectif de ces campagnes était de voler les informations d'identification des comptes Microsoft Office 365. En raison des similitudes dans l'infrastructure réseau utilisée dans ces PSYOPs et ces opérations d'hameçonnage, les résultats de la recherche d'ESET permettent d’affirmer avec une grande confiance qu'elles sont liées.

Un serveur de messagerie, exploité par les attaquants et utilisé pour envoyer les courriels des PSYOPs, a été réutilisé deux semaines plus tard pour envoyer des courriels typiques des pharmacies canadiennes. Cette pratique est très populaire au sein de la communauté cybercriminelle russe depuis un certain temps. Quelques autres pivots ont également révélé des noms de domaine qui font partie de l'opération Texonto et qui sont liés à des sujets internes à la Russie, tels qu'Alexeï Navalny, le célèbre leader de l'opposition russe, qui était en prison et est décédé le 2024-02-16. Cela signifie que l'opération Texonto comprend probablement des opérations de spearphishing ou d'information ciblant des dissidents russes et les partisans du défunt leader de l'opposition.

L'objectif de la première vague d'e-mails de désinformation était de semer le doute dans l'esprit des Ukrainiens. Par exemple, un courriel dit : « Il pourrait y avoir des interruptions de chauffage cet hiver. » D'autres, prétendument du ministère de la Santé, parlent de pénuries de médicaments. Il ne semble pas qu'il y ait eu de liens malveillants ou de logiciels malveillants dans cette vague spécifique, seulement de la désinformation. Un domaine se faisant passer pour le ministère de la Politique agricole et de l'Alimentation de l'Ukraine a recommandé de remplacer les médicaments indisponibles par des herbes. Dans un autre courriel de ce faux ministère, ils suggèrent de manger du « risotto au pigeon ». Environ un mois après la première vague, ESET a détecté une deuxième campagne d'e-mails PSYOPs ciblant non seulement les Ukrainiens, mais aussi les habitants d'autres pays européens. Les cibles sont quelque peu aléatoires, allant du gouvernement ukrainien à un fabricant de chaussures italien. Selon la télémétrie d'ESET, quelques centaines de personnes ont reçu des e-mails au cours de cette vague. Le message de la deuxième vague a été encore plus morbide, les attaquants suggérant aux gens d'amputer une jambe ou un bras pour éviter un déploiement militaire. Dans l'ensemble, il présente toutes les caractéristiques des PSYOPs en temps de guerre.

Chronologie de l'opération Texonto