🐍 TA829 & UNK_GreenSec : Quand deux cybercriminels partagent leurs jouets comme à la maternelle

« Dis maman, je peux prêter mon RAT à mes copains TA829 & UNK_GreenSec ? » — Un APT anonyme, 2025.

Bienvenue dans la cour de récréation du cyberespace, version 2025. Ici, les groupes de menaces ne se contentent plus de voler vos données ou de chiffrer vos serveurs : ils échangent leurs infrastructures, partagent des tactiques comme des recettes de grand-mère, et font du code malveillant en open bar sur AWS. C’est beau la collaboration.

Aujourd’hui, nous assistons à une bromance inattendue entre deux groupes bien mal intentionnés : TA829, alias RomCom, SingleCamper, DustyHammock (rien que ça), et un petit nouveau à l’étiquette autocollante encore fraîche : UNK_GreenSec, le mec louche du fond de la classe qui livre le malware TransferLoader. Deux entités, deux signatures, mais une même odeur de cybercrime organisé et d’espionnage en kit.

🎭 TA829 : Le tonton espion un peu bruyant

TA829, c’est l’ami fidèle de l’Europe de l’Est. Il ne vient jamais sans son RAT RomCom, toujours bien habillé dans une DLL obfusquée, et adore traîner sur les campagnes de phishing à thème « CV 2025 » et « OneDrive t’invite à cliquer ici ». Quand il n’usurpe pas un document Word bourré de macros, il balance du malware depuis des routeurs MikroTik compromis. Économie circulaire, on vous dit.

C’est un habitué de l’espionnage avec une touche cybercriminelle, un peu comme si James Bond piratait vos Google Docs pour vous réclamer une rançon en Bitcoin.

🧃 UNK_GreenSec : Le cousin discret mais vicieux

Et voici UNK_GreenSec, qu’on surnommerait volontiers “le stagiaire qui fait tout péter”. Il utilise son TransferLoadercomme une seringue numérique : injecté discrètement via des faux fichiers PDF ou ZIP, il déploie parfois le ransomware Morpheus, ex-HellCat. Rien de tel qu’un loader silencieux qui fait du XOR, base32 et emballe le tout avec un zip et un sourire.

Sa spécialité ? Une infrastructure distribuée via IPFS, Cloudflare et AWS S3. Parce que pourquoi se fatiguer à héberger ses propres serveurs quand Amazon te propose du malware-as-a-service pour 0,0023 $/requête GET ?

🔄 Les signes de la fusion : cohabitation d’infrastructures

Et là, les chercheurs de chez Proofpoint ont levé un sourcil. Les deux groupes utilisent les mêmes modèles de mails de phishing, les mêmes services de redirection (Rebrandly, t’as le bonjour), les mêmes patterns de domaine et parfois… la même infrastructure de livraison.

Alors que se passe-t-il ? Hypothèse n°1 : ils sont colocataires dans un centre de données en Moldavie. Hypothèse n°2 : ils partagent le même prestataire offshore de développement de malware. Hypothèse n°3 (la plus probable) : c’est le même groupe qui fait semblant de se diviser pour mieux noyer les analystes.

Mais peu importe au fond. Car ce qui nous intéresse ici, c’est que l’écosystème cybercriminel ne cesse de se professionnaliser. Aujourd’hui, même les APT ont une gestion de projet agile, des chaînes CI/CD mieux foutues que celles de certaines startups, et des redirections phishing dignes d’un funnel marketing B2B.

🧨 Pourquoi on devrait flipper (juste un peu)

Parce que TransferLoader n’est pas juste un petit injecteur de malware rigolo. Il est modulaire, silencieux, persistant, et il est couplé à des ransomwares capables de désactiver la protection du système avant de chiffrer le tout. Parce que RomCom RAT, lui, a des fonctions d’espionnage avancées : keylogger, screenshots, exfiltration de documents, et communication via proxy caché.

Et surtout, parce que cette alliance ou fusion ou copinage tactique démontre une chose : l’industrialisation du cybercrime n’est plus un mythe, c’est une réalité opérationnelle. Ces groupes partagent leurs jouets, leurs fournisseurs, leurs méthodologies, et nous prennent de vitesse pendant qu’on hésite encore à patcher.

🧯 Ce qu’il faut faire (ou prétendre faire)

1. Arrêter de cliquer sur les CV en .doc envoyés à 4h du matin depuis une IP du Kirghizistan.
2. Mettre à jour vos routeurs MikroTik (non, vraiment, faites-le).
3. Bloquer Rebrandly en tant que vecteur de phishing (ou au moins le monitorer).
4. Segmenter les postes RH (parce que c’est eux qui reçoivent les CV piégés).
5. Déployer une veille ciblée sur les noms de fichiers à la mode : « Resume 2025 », « MotivationLetter_JohnDoe.pdf », etc.

🎬 En résumé : TA829 + UNK_GreenSec = ❤️ ?

Peu importe qu’ils soient un couple, un groupe schizophrène ou deux malfrats qui se croisent sur Telegram. Le résultat est le même : des campagnes toujours plus sophistiquées, toujours plus dangereuses, et toujours plus efficaces.

Le cybercrime moderne, c’est de l’espionnage industrialisé, de la ransomware économie, et surtout une belle collaboration internationale (en tout cas du côté des attaquants).

À méditer, pendant que vos utilisateurs cliquent sur « OneDrive wants to share a file with you ».

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com