Des cybercriminels ont réussi à dérober des millions de roubles à des entreprises russes en ciblant les ordinateurs de comptables et en masquant des virements frauduleux comme des paiements de salaire légitimes, selon un rapport récent. ### Le casse à plusieurs millions de roubles de Hive0117 Des chercheurs de la société russe de cybersécurité **F6** ont révélé que le groupe à motivation financière **Hive0117** a mené une série d'attaques de février à mars 2026, ciblant spécifiquement les départements financiers des entreprises. Plus de 3 000 organisations russes ont été visées par cette campagne. ### Emails de phishing et infection par malware Les attaquants ont lancé leur campagne en envoyant des emails de phishing méticuleusement conçus pour infecter les ordinateurs des comptables avec un malware, leur accordant ainsi un accès non autorisé aux systèmes bancaires des entreprises. Le plus grand vol confirmé a dépassé les 14 millions de roubles (environ 178 000 $). Les emails de phishing étaient conçus pour paraître légitimes, provenant souvent de comptes compromis, y compris celui d'un développeur d'applications web et mobiles basé à Moscou. Ces emails contenaient des archives protégées par mot de passe, déguisées en documents commerciaux courants tels que des factures et des documents d'expédition. ### DarkWatchman RAT L'ouverture de l'archive et l'exécution d'un fichier caché ont entraîné l'infection de l'ordinateur de la victime par **DarkWatchman**, un cheval de Troie d'accès à distance (RAT). Ce RAT a permis aux attaquants de maintenir un contrôle discret sur les systèmes compromis. **DarkWatchman** permet l'exécution de commandes à distance, le téléchargement d'outils malveillants supplémentaires et le mouvement latéral sur le réseau de l'entreprise. Ce malware est lié à **Hive0117** depuis au moins 2021 et est couramment distribué via des campagnes de phishing. ### Exploitation des mécanismes de paie Avec le contrôle de la machine d'un comptable, les attaquants pouvaient se connecter aux portails bancaires en ligne des entreprises et initier des transactions directement depuis le système compromis, donnant ainsi l'apparence de légitimité à l'activité. Les pirates ont exploité les mécanismes de paie en créant des ordres de paiement liés à des comptes bancaires qui semblaient appartenir à des employés mais qui étaient en réalité contrôlés par les attaquants. Si ces virements contournaient les contrôles anti-fraude des banques, les criminels pouvaient retirer des sommes substantielles des comptes des entreprises. ### Historique et portée de Hive0117 **Hive0117** est actif depuis fin 2021, ciblant principalement les départements financiers de diverses industries. Bien que les attaques récentes se soient concentrées sur des organisations russes, des activités antérieures ont également ciblé des utilisateurs en Lituanie, en Estonie, en Biélorussie et au Kazakhstan, selon **F6**. Des chercheurs ont précédemment indiqué que les opérations du groupe ne semblent pas liées au conflit cybernétique plus large entre la Russie et l'Ukraine, et l'origine des attaquants reste inconnue. Cette campagne fait suite à des activités antérieures signalées par **F6** l'année dernière, où le groupe a utilisé une version modifiée de **DarkWatchman** pour cibler des entreprises russes dans plusieurs secteurs. En 2023, des chercheurs occidentaux ont observé **Hive0117** se faisant passer pour des communications du gouvernement russe dans des emails de phishing déguisés en avis de conscription militaire, une autre campagne qui a déployé le même malware.