Egalement connu sous l'appellation Sofacy (mais aussi APT28, Sednit, Strontium, Storm Gage...) le groupe de cyberespions russe Pawn Storm est en activité depuis au moins 2007. Ses cibles favorites ? Gouvernements, forces de sécurité et militaires mais également des institutions comme l'OTAN ou encore des médias, sans oublier des activistes politiques ukrainiens ou contestataires de la politique menée par le Kremlin.

Depuis août, ce groupe de cyberespions est par ailleurs parti en campagne contre des fournisseurs dans le secteur de la défense, selon Kaspersky Lab. A cette occasion, les chercheurs de l'éditeur en sécurité ont trouvé que Pawn Storm avait utilisé une nouvelle version de son programme de porte dérobée, baptisée AZZY, ainsi qu'un éventail de modules permettant de voler des données. L'un de ses modules surveille les périphériques de stockage connectés dans des ordinateurs afin de voler des fichiers en fonction de règles définies par des attaquants.

Un groupe de cyberespions particulièrement dynamique

L'équipe de chercheurs en sécurité de Kaspersky pense que le but de ce module est d'aller piller des informations sensibles contenus dans des bouts de réseaux qui ne sont pas justement reliés à Internet pour limiter les risques d'êtres compromis. Pawn Storm/Sofacy rejoint à ce titre d'autres groupes de cyberespions comme Equation et Flame, connus pour avoir utilisé des malwares conçus pour venir à bout de ces réseaux en grappes non raccordés au web.

« Sur l'année écoulée, le groupe Sofacy a accru ses activités qui ont décuplé par rapport aux précédentes années, devenant l'une des menaces parmi les plus prolifiques, agiles et dynamiques », ont indiqué les chercheurs de Kaspersky dans un billet de blog. « Cette activité a connu un pic en juillet 2015 lorsque le groupe a lâché deux nouveaux exploits zero-day Office et Java. »