C'est Kaspersky Lab et le Crysys (Cryptography and System Security) de l'Université d'économie et de technologie de Budapest qui ont découvert ce qui apparaît comme une campagne globale de cyberespionnage. Surnommée MiniDuke, cette opération utilise des courriels ciblés et basés sur des fichiers PDF utilisant une faille récemment corrigée d'Adobe Reader 9,10 et 11. Pour Constantin Raiu directeur de la recherche pour Kaspersky Lab « l'attaque utilise cette faille, avec quelques modifications avancées ».

Les PDF incriminés sont des copies malveillantes de rapports pour cibler certaines organisations. Exemples : une étude d'un séminaire informel Asie-Europe sur les droits de l'Homme, un rapport sur le plan d'action pour l'adhésion de l'Ukraine à l'OTAN, un document sur la politique étrangère de l'Ukraine, etc. Si le fichier est téléchargé, il installe un bout de malware chiffré, un backdoor identifiant spécifiquement la machine. Cette technique de signature cryptée unique est souvent utilisée dans le cadre de cyberespionnage et surtout pour éviter aux malwares d'être repérés. Cela signifie que « si le fichier est exécuté sur un autre ordinateur, le malware ne se déclenchera pas », souligne Constantin Raiu.

Un malware à l'ancienne mais qui se branche sur Twitter

MiniDuke a aussi quelques caractéristiques inhabituelles. D'une taille de 20 ko, le malware est programmé en assembleur, une méthode rarement utilisée par les hackers. Cette petite taille suggère à Constantin Riau, que les créateurs de cette attaque étaient de « la vieille école ». Autre spécificité, la communication avec les serveurs commande et contrôle passe par Twitter avec des messages incluant des URLs chiffrées. Ces sites sont hébergés aux Etats-Unis, Allemange, France et la Suisse. Ils peuvent envoyer à la machine des fichiers cryptés GIF qui contiennent un second backdoor. Ce dernier met à jour le premier malware et se connecte aux serveurs de commande et contrôle pour télécharger d'autres backdoors plus spécifiques en cas de repérage. Ainsi, sur une journée, Kaspersky a recensé 5 backdoors différents pour 5 victimes au Portugal, en Ukraine, en Allemagne et en Belgique. Pour les chercheurs, l'activité de MiniDuke remonte au moins à avril 2012, date à laquelle un des comptes Twitter a été créé.

Les victimes de MiniDuke sont assez diverses et surtout mondiales :  des sociétés, des administrations et des laboratoires de recherche en Belgique, Brésil, Bulgarie, République tchèque, Géorgie, Allemagne, Hongrie, Irlande, Israël, Japon, Lettonie, Liban, Lituanie, Monténégro, Portugal, Roumanie, Russie, Slovénie, Espagne, Turquie, Ukraine, Royaume-Uni et aux États-Unis. Constantin Riau concède que le niveau de l'attaque n'est pas aussi élevé que Stuxnet, mais il s'agit néanmoins d'une campagne importante. Si les chercheurs ont peu d'informations sur les personnes qui se cachent derrière cette attaque, ils ont identifié une signature 666 qui s'apparente à un groupe de hacker baptisé 29A (représentation hexadécimale de 666), apparemment disparu depuis 2008. D'autre part, les spéculations vont bon train sur le rôle de la Chine qui n'est pas dans la liste des victimes, mais les chercheurs estiment que MiniDuke est très élaboré par rapport aux attaques imputées à la Chine.