« Jouer à Dieu sans permission. » Le nom du rapport de l’équipe de renseignements sur les cyber-menaces de la société Group-IB, publié le 3 novembre en partenariat avec Orange CERT-CC, l’équipe de réponse à incidents de l‘opérateur français, annonce la couleur.
Il faut dire que, depuis quatre ans, le groupe cyber-malveillant francophone OPERA1ER (également connu sous le nom de DESKTOP-GROUP, Common Raven et NXSMS), ne se prive pas : sur 35 attaques contre des banques, services financiers et entreprises de télécommunications en Afrique en Amérique du Sud et au Bangladesh, il a dérobé plus de 11 millions d’euros
Plein de ressources, il a même réussi à se faire oublier en effaçant ses traces, c’est-à-dire en supprimant ses comptes et en modifiant ses techniques d’approche pour mener ses cyberattaques – à tel point que le Groupe-IB a dû suspendre son rapport commencé il y a longtemps en attendant qu’il resurgisse.
Parmi ses victimes, on compte une banque au Burkina Faso et une autre au Bénin en 2021, deux banques en Côte d’Ivoire et une au Sénégal en 2022.
« Les acteurs malveillants développent constamment de nouveaux TTP et, en août 2022, avec l’aide de Przemyslaw Skowron, Group-IB a identifié de nouveaux serveurs Cobalt Strike utilisés par OPERA1ER », indique la société de cybersécurité, qui a mené son étude grâce à son outil de threat intelligence, Graph.
Le rapport, et donc le groupe cybermalveillant, a reçu une couverture médiatique internationale.