Le groupe TAG-110, aligné sur la Russie, cible le Tadjikistan avec des documents Word contenant des macros

Remarque : la date limite d'analyse pour ce rapport était le 24 mars 2025.

Executive Summary

De janvier à février 2025, Insikt Group a détecté une campagne de phishing visant le Tadjikistan, qu'Insikt Group attribue à TAG-110, un acteur malveillant aligné sur la Russie qui présente des similitudes avec UAC-0063 et qui a été associé à APT28 (BlueDelta) avec un niveau de confiance moyen par CERT-UA. Lors de cette campagne, TAG-110 a utilisé des documents sur le thème du gouvernement du Tadjikistan comme leurre, conformément à son utilisation historique de documents gouvernementaux légitimes trojanisés, bien que l'authenticité des échantillons actuels n'ait pas pu être vérifiée de manière indépendante. Ces documents étaient différents de ceux utilisés lors des campagnes précédentes(1, 2, 3, 4), notamment parce qu'ils ne contenaient pas de charge utile HATVIBE, que TAG-110 a déployée depuis au moins 2023. Dans cette campagne, TAG-110 a opté pour l'utilisation de fichiers modèles Word contenant des macros (.dotm) au lieu de HATVIBE pour la charge utile initiale. Étant donné que TAG-110 cible historiquement les entités du secteur public en Asie centrale, cette campagne vise probablement les institutions gouvernementales, éducatives et de recherche au Tadjikistan.

La politique de la Russie en Asie centrale se concentre sur la préservation d'une sphère d'influence post-soviétique en s'intégrant au cœur de l'architecture sécuritaire, économique et politique de la région. Les activités de TAG-110 continuent de renforcer cette politique par le biais d'opérations de collecte de renseignements. Insikt Group s'attend à ce que le TAG-110 soutienne des opérations régionales contre des ministères, des organismes universitaires et de recherche et des missions diplomatiques, en particulier ceux impliqués dans les prochaines élections, les opérations militaires ou d'autres événements que le Kremlin souhaite influencer.

Key Findings

• TAG-110 a modifié ses tactiques de spearphishing lors des récentes campagnes contre le Tadjikistan, car ils s'appuient désormais sur des modèles Word contenant des macros (fichiers .dotm).
• Cette campagne a été attribuée à TAG-110 en raison de la réutilisation du code VBA trouvé dans les leurres des campagnes précédentes, du chevauchement de l'infrastructure C2 et de l'utilisation de documents gouvernementaux présumés légitimes comme matériel de leurre.
• Le ciblage persistant des institutions gouvernementales, éducatives et de recherche tadjikes par TAG-110 soutient la stratégie de la Russie pour maintenir son influence en Asie centrale. Ces opérations de cyber-espionnage visent probablement à recueillir des renseignements pour influencer la politique ou la sécurité régionale, en particulier lors d'événements sensibles tels que des élections ou des tensions géopolitiques.
• L'utilisation récente par TAG-110 de modèles Word (.dotm) contenant des macros, placés dans le dossier STARTUP de Microsoft Word pour une exécution automatique, met en évidence une évolution tactique donnant la priorité à la persistance. Les organisations doivent surveiller le répertoire Word STARTUP pour détecter tout ajout non autorisé et appliquer des politiques strictes en matière de sécurité des macros.

Background

TAG-110 est un acteur malveillant aligné sur la Russie qui présente des similitudes avec UAC-0063, qui a été associé à APT28 (BlueDelta) avec un niveau de confiance moyen par le CERT-UA. TAG-110 a mené des campagnes de cyberespionnage ciblant principalement l'Asie centrale depuis au moins 2021. Historiquement, ce groupe est connu pour son utilisation de documents Word macro-activés pour diffuser des charges utiles malveillantes telles que HATVIBE, un malware basé sur HTA et conçu pour l'accès initial et la persistance. En novembre 2024, Insikt Group a mis en évidence l'utilisation par TAG-110 de pièces jointes de spearphishing intégrées au format HTA dans des e-mails destinés aux entités diplomatiques d'Asie centrale. Les opérations de TAG-110 ont été documentées par des organisations telles que CERT-UA, BitDefender et Sekoia, avec des campagnes récentes ciblant des entités au Kazakhstan, en Ouzbékistan et dans d'autres États d'Asie centrale. TAG-110 continue d'utiliser diverses familles de malwares personnalisés pour mener des activités d'espionnage, y compris CHERRYSPY (DownExPyer), LOGPIE et PyPlunderPlug.

Threat Analysis

À partir de janvier 2025, Insikt Group a détecté de nouvelles charges utiles de première phase du TAG-110, ce qui laissait penser que les acteurs malveillants étaient en train de modifier leurs tactiques. Auparavant, TAG-110 utilisait des documents Word avec macros activées pour livrer HATVIBE, un malware basé sur HTA, pour un accès initial. Les documents récemment détectés ne contiennent pas la charge utile HTA HATVIBE intégrée pour créer une tâche planifiée et utilisent plutôt un fichier modèle global placé dans le dossier de démarrage de Word pour assurer la persistance.

Analyse de document

Tableau 1 : métadonnées de d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 (Source : Recorded Future)

Le premier document (Figure 1) semble être un avis aux forces armées du Tadjikistan sous la garantie de la radioprotection. La traduction automatique a traduit incorrectement « РT » par « République du Tartarstan », mais dans le contexte général du document, cela fait probablement référence à la « République du Tadjikistan », car « республика татастастана » est utilisé à la place de « PT » plus loin dans le document. Insikt Group n'a pas été en mesure de vérifier l'authenticité du document, mais TAG-110 a historiquement utilisé des documents légitimes comme leurres.

Figure 1 : première page de d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 et traduction automatique correspondante (Source : Recorded Future)

Tableau 2 : Métadonnées de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future)

Le deuxième document (Figure 2) semble être un calendrier relatif aux élections à Douchanbé, la capitale du Tadjikistan. Au moment de la rédaction du rapport, Insikt Group n'a pas pu vérifier l'authenticité du document.

Figure 2 : première page de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 et traduction automatique correspondante (Source : Recorded Future)

VBA Macros

Les deux fichiers d'exemple, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 et 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7, partagent les mêmes fonctionnalités et la même infrastructure de commande et de contrôle (C2), avec seulement un petit changement dans les méthodes de communication C2. La figure 3 montre le code source de ces documents Word malveillants.

Figure 3 : code source de la macro VBA de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future Malware Intelligence)

Analyse des sous-procédures

Procédure Sub Document_Open()

Lors de l'ouverture du fichier malveillant, l'événement document.open est déclenché, et le reste du code s'exécute :

• Désactive la protection du document à l'aide de la clé « gyjyfyjrtjrtjhfgjfrthrtj »
• Masquer les erreurs d’orthographe
• Essaye de régler la largeur de la ligne de police à 0
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

Figure 4 : procédure Sub Document_open() de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future Malware Intelligence)

Procédure Sub AutoExec()

Une fois que le document a été ajouté au dossier de démarrage de Word, il est traité comme un modèle global et exécute la macro automatique AutoExec à chaque démarrage de Microsoft Word. La macro AutoExec effectue les opérations suivantes :

• Vérifie la dernière fois que Microsoft Word a été ouvert. Cette information est stockée et maintenue par le modèle global dans le registre HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Options\LastTime -- Si la valeur de LastTime est inférieure à 60 secondes, AutoExec mettra fin à l'exécution
• Collecte les informations système suivantes et les stocke au format JSON : -- Nom de l'ordinateur -- Nom d'utilisateur -- Région -- Résolution du moniteur -- Langue -- Version du système
• Attend trois secondes avant d'exécuter la procédure getInfo()Sub, conformément à la figure 5.

Figure 5 : procédure Sub AutoExec() de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future Malware Intelligence)

Procédure Sub getInfo()

La procédure Sub getInfo() initie la communication entre la victime et le serveur C2. Pour ce faire, la procédure effectue les opérations suivantes :

• Crée un objet de requête HTTP et effectue un POST HTTP vers l'URL http://38.180.206[.]61/engine.php
• Selon la Figure 7, la requête HTTP présente les caractéristiques suivantes :
  • L'en-tête Content-type est défini sur application/x-www-form-urlencoded
  • L'en-tête User-Agent est défini sur un identifiant encodé en Base64 unique dans les deux échantillons
  • Données POST au format opamczqwe=&ywalokmsz=
• Si la réponse du serveur C2 commence par « %%% », la procédure Sub prendra le reste de la chaîne qui suit et l'utilisera comme argument dans la procédure Sub de démarrage
• Si la réponse HTTP du serveur ne commence pas par « %%%% », il attendra dix secondes et réessaiera jusqu'à ce qu'il obtienne une réponse commençant par « %%%% »
• L'exemple d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 utilise une boucle de comptage où les données collectées ne sont envoyées que tous les dix POST HTTP, tandis que l'exemple 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 n'enverra les données collectées que lors du premier POST HTTP

Figure 6 : procédure Sub getInfo() de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future)

Figure 7 : sortie PCAP d'un POST HTTP de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future)

Procédure Sub start()

La procédure Sub start() est probablement utilisée pour exécuter du VBA supplémentaire fourni dans les réponses C2. Pour ce faire, la procédure Sub effectue les opérations suivantes :

• Elle divise la réponse C2 restante en utilisant la chaîne « ### » comme délimiteur et stocke les valeurs dans un tableau
• Ce tableau de chaînes est utilisé comme variables, probablement pour créer un bloc de code similaire à ceux utilisés dans les précédents documents Word activés par macro TAG-110, tels que 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3, comme le montre la Figure 8
• Les valeurs du tableau sont utilisées pour créer un objet COM (probablement WScipt.shell en se basant sur un chevauchement de code avec le code VBA précédent utilisé par TAG-110) et sont écrites dans une valeur du registre
  • Il est probable que cela modifie HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM dans le registre, car cette tactique a été utilisée dans les campagnes précédentes
  • Cette modification du registre permet aux macros VBA de modifier et d'accéder à d'autres projets VBA
• Un autre objet COM (probablement Word.Application basé sur un chevauchement de code du code VBA précédent utilisé par TAG-110) lancera Microsoft Word en arrière-plan, créera un nouveau document dans cette instance de Microsoft Word, ajoutera un module VBA et l'exécutera après trois secondes

Figure 8 : chevauchement de code entre 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3 (en haut) et 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (en bas) (Source : Recorded Future)

Figure 9 : procédure Sub start() de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future)

Infrastructure malveillante

Les fichiers d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 et 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 partagent le même serveur C2, 38.180.206[.]61. Cette adresse IP a été précédemment identifiée comme un serveur HATVIBE C2 et attribuée à TAG-110 par Sekoia. Au moment de l'analyse, Insikt Group n'a pas pu obtenir de modules VBA supplémentaires de deuxième étape. Cependant, en se basant sur l'activité historique de TAG-110 et son ensemble d'outils, il est probable qu'un accès initial réussi via les modèles contenant des macros entraînerait le déploiement de malwares supplémentaires, tels que HATVIBE, CHERRYSPY, LOGPIE, ou potentiellement une nouvelle charge utile développée sur mesure pour des opérations d'espionnage.

Mitigations

• Surveillez la création ou la modification de fichiers modèles globaux dans le dossier de démarrage de Microsoft Word, ce qui peut indiquer un abus persistant des macros.
• Détectez et examinez les modifications du registre à AccessVBOM sous HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security, qui peuvent indiquer des tentatives d'activation ou de manipulation du comportement des macros VBA.
• Désactivez les macros par défaut dans les applications Microsoft Office et implémentez des objets de stratégie de groupe (GPO) pour empêcher les utilisateurs de les activer, sauf approbation explicite.
• Utilisez Recorded Future® Threat Intelligence pour surveiller la nouvelle infrastructure TAG-110, les signatures de malwares et les indicateurs de documents de phishing.
• Intégrez les modules Recorded Future Threat Intelligence aux plateformes SIEM et SOAR afin de recevoir des alertes en temps réel sur les activités liées au TAG-110 et à d'autres acteurs malveillants alignés sur la Russie.

Outlook

Sur la base des rapports actuels et précédents d'Insikt Group, le TAG-110 utilise régulièrement des documents de spearphishing activés par macros pour diffuser des malwares et établir leur persistance dans les environnements cibles. Insikt Group s'attend à ce que TAG-110 continue d'exploiter les événements régionaux et les thèmes bureaucratiques pour concevoir ses leurres. Nous nous attendons également à ce que les entités liées au gouvernement, à la défense ou aux infrastructures publiques en Asie centrale continuent d'être prises pour cible, notamment lors d'événements sensibles tels que des élections ou des activités militaires.

To read the entire analysis, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Appendix B: MITRE ATT&CK Techniques