Connu dans le secteur de la sécurité sous différentes appellations - Fancy Bear, Pawn Storm et APT28 - le groupe qui a infiltré le Comité national démocrate (DNC) aux Etats-Unis est actif depuis près d'une décennie. D’après les experts, c’est le seul groupe connu de pirates qui utilise, et qui a probablement lui-même développé, un cheval de Troie appelé Sofacy ou X-Agent dont il existe des variantes pour Windows, Android et iOS. Ces dernières années, Fancy Bear a commis plusieurs opérations de cyberespionnage dans le monde. Très souvent, les cibles du groupe ont un rapport étroit avec les intérêts géopolitiques russes. C’est pourquoi les chercheurs de l’entreprise de sécurité CrowdStrike pensent que le groupe est probablement lié aux Services du renseignement militaire russes (GRU). 

Il y a peu, les chercheurs ont découvert un pack applicatif Android intégrant la version Android du Trojan X-Agent. Il s’agit en fait une version modifiée d'une application développée par Yaroslav Sherstuk, un officier de la 55e Brigade d'artillerie ukrainienne. La dite application aide les forces d'artillerie à traiter plus rapidement les données qui servent à calibrer l'obusier soviétique D-30. Selon CrowdStrike, dans les différentes interviews qu’il avait accordées aux médias, Yaroslav Sherstuk avait déclaré que 9000 membres au moins de l'artillerie ukrainienne utilisaient son application et que celle-ci avait permis de réduire le temps de ciblage du D-30 de plusieurs minutes à moins de 15 secondes.

Le trojan a sans doute permis de reconnaître les troupes ukrainiennes

L'application de l’officier n'a jamais été distribuée via Google Play, ce qui signifie que ses utilisateurs l'ont probablement installée manuellement après l'avoir téléchargée à partir de sources diverses. Étant donné la facilité avec laquelle les utilisateurs installent des applications provenant de sources alternatives, Fancy Bear n'a probablement pas eu beaucoup de difficultés à distribuer sa version transformée en trojan. « Le déploiement des logiciels malveillants de Fancy Bear dans cette application a peut-être facilité la reconnaissance des troupes ukrainiennes », ont déclaré hier les chercheurs de CrowdStrike dans un blog. « Les capacités du malware à pirater les communications et les données de localisation brutes sur les dispositifs infectés ont été sans doute très utiles pour localiser les forces d'artillerie ukrainiennes et préparer les offensives ».