Egalement connu en tant que DESKTOP-GROUP, Common Raven ou encore NXSMS, le cybergang francophone OPERA1ER poursuit ses activités malveillantes avec, malheureusement, un succès certain. Identifité par l'équipe de détection des menaces de Group-IB en 2019, mais agissant depuis 2016, ce groupe de cybercriminels a fait des organismes bancaires, financiers et télécoms africains des cibles privilégiées. Le groupe de hackers est formé de membres francophones opérant très probablement depuis l'Afrique. En plus de cibler des entreprises dans l'Ouest de ce continent, ce cybergang a également frappé des organisations en Argentine, au Paraguay et au Bangladesh. 

OPERA1ER s'appuie sur des outils open source, des logiciels malveillants et des frameworks tels que Metasploit et Cobalt Strike, un outil de pen testing, utilisé pour compromettre les serveurs de l'entreprise. « En août 2022, avec l'aide de Przemyslaw Skowron, Group-IB a identifié de nouveaux serveurs Cobalt Strike utilisés par OPERA1ER », explique dans son rapport Group-IB. « Nos équipes ont analysé l'infrastructure nouvellement détectée, révélant que l'attaquant avait mené 5 autres attaques après que nous ayons fini de le cibler ». Cela inclut deux banques en Cote d'Ivoire et une au Sénégal en 2022 ainsi qu'une au Burkina Faso et une autre au Bénin en 2021. 

Une compromission par pivot après une dormance pouvant atteindre 1 an

Les analyses de Group-IB révèlent que la plupart des attaques ont commencé par l’envoi d’emails de phishing comportant un trojan d’accès à distance (RAT) et d’autres outils visant à prélever les identifiants d’utilisateurs. Après être tombées dans le piège d'un mail de spear phishing qualifié de grande qualité par Group-IB, les victimes activent à leur insu un premier niveau d'attaque malveillante en cliquant vers des liens Google Drive ou pointant vers des serveurs Discord compromis ou des pièces jointes corrompues. À compter de l’accès initial, le « dwell time » (ou temps de séjour) était en moyenne de 3 à 12 mois, délai au terme duquel l’argent était dérobé selon Group-IB. « Cette période de dormance a été mise à profit par les hackers afin d’étudier le réseau des victimes, souvent au moyen d’outils peu sophistiqués et en exploitant des failles bien connues », poursuit le spécialiste en threat intell.

L'analyse des attaques menées par Group-IB a permis la détection et la mise en évidence de failles vieilles de trois ans exploitées par OPERA1ER. Dans un des cas au moins, un serveur de mise à jour d'antivirus, situé au sein du réseau, un service de point pivot pour compromettre les autres systèmes. Bien souvent, la phase finale de l'attaque a lieu le week-end. « C’est à ce moment qu’OPERA1ER détourne l’infrastructure bancaire pour effecteur un transfert d’argent frauduleux vers des comptes détenus par des mules. De fait, la partie retrait a été confiée par OPERA1ER à des tiers ou mules, ayant retiré des sommes d'argent frauduleuses sur plusieurs distributeurs de billets », explique Group-IB. En tout, 35 cyberattaques ont été identifiées dans 14 pays entre 2018 et aujourd'hui mais le nombre de victimes pourrait être plus élevé, sachant que le butin confirmé de ces attaques s'élève à 11 millions de dollars.