Executive Summary

De janvier à février 2025, Insikt Group a détecté une campagne de phishing visant le Tadjikistan, qu'Insikt Group attribue à TAG-110, un acteur malveillant aligné sur la Russie qui présente des similitudes avec UAC-0063 et qui a été associé à APT28 (BlueDelta) avec un niveau de confiance moyen par CERT-UA. Lors de cette campagne, TAG-110 a utilisé des documents sur le thème du gouvernement du Tadjikistan comme leurre, conformément à son utilisation historique de documents gouvernementaux légitimes trojanisés, bien que l'authenticité des échantillons actuels n'ait pas pu être vérifiée de manière indépendante. Ces documents étaient différents de ceux utilisés lors des campagnes précédentes(1, 2, 3, 4), notamment parce qu'ils ne contenaient pas de charge utile HATVIBE, que TAG-110 a déployée depuis au moins 2023. Dans cette campagne, TAG-110 a opté pour l'utilisation de fichiers modèles Word contenant des macros (.dotm) au lieu de HATVIBE pour la charge utile initiale. Étant donné que TAG-110 cible historiquement les entités du secteur public en Asie centrale, cette campagne vise probablement les institutions gouvernementales, éducatives et de recherche au Tadjikistan.

La politique de la Russie en Asie centrale se concentre sur la préservation d'une sphère d'influence post-soviétique en s'intégrant au cœur de l'architecture sécuritaire, économique et politique de la région. Les activités de TAG-110 continuent de renforcer cette politique par le biais d'opérations de collecte de renseignements. Insikt Group s'attend à ce que le TAG-110 soutienne des opérations régionales contre des ministères, des organismes universitaires et de recherche et des missions diplomatiques, en particulier ceux impliqués dans les prochaines élections, les opérations militaires ou d'autres événements que le Kremlin souhaite influencer.

Key Findings

• TAG-110 a modifié ses tactiques de spearphishing lors des récentes campagnes contre le Tadjikistan, car ils s'appuient désormais sur des modèles Word contenant des macros (fichiers .dotm).
• Cette campagne a été attribuée à TAG-110 en raison de la réutilisation du code VBA trouvé dans les leurres des campagnes précédentes, du chevauchement de l'infrastructure C2 et de l'utilisation de documents gouvernementaux présumés légitimes comme matériel de leurre.
• Le ciblage persistant des institutions gouvernementales, éducatives et de recherche tadjikes par TAG-110 soutient la stratégie de la Russie pour maintenir son influence en Asie centrale. Ces opérations de cyber-espionnage visent probablement à recueillir des renseignements pour influencer la politique ou la sécurité régionale, en particulier lors d'événements sensibles tels que des élections ou des tensions géopolitiques.
• L'utilisation récente par TAG-110 de modèles Word (.dotm) contenant des macros, placés dans le dossier STARTUP de Microsoft Word pour une exécution automatique, met en évidence une évolution tactique donnant la priorité à la persistance. Les organisations doivent surveiller le répertoire Word STARTUP pour détecter tout ajout non autorisé et appliquer des politiques strictes en matière de sécurité des macros.

Background

TAG-110 est un acteur malveillant aligné sur la Russie qui présente des similitudes avec UAC-0063, qui a été associé à APT28 (BlueDelta) avec un niveau de confiance moyen par le CERT-UA. TAG-110 a mené des campagnes de cyberespionnage ciblant principalement l'Asie centrale depuis au moins 2021. Historiquement, ce groupe est connu pour son utilisation de documents Word macro-activés pour diffuser des charges utiles malveillantes telles que HATVIBE, un malware basé sur HTA et conçu pour l'accès initial et la persistance. En novembre 2024, Insikt Group a mis en évidence l'utilisation par TAG-110 de pièces jointes de spearphishing intégrées au format HTA dans des e-mails destinés aux entités diplomatiques d'Asie centrale. Les opérations de TAG-110 ont été documentées par des organisations telles que CERT-UA, BitDefender et Sekoia, avec des campagnes récentes ciblant des entités au Kazakhstan, en Ouzbékistan et dans d'autres États d'Asie centrale. TAG-110 continue d'utiliser diverses familles de malwares personnalisés pour mener des activités d'espionnage, y compris CHERRYSPY (DownExPyer), LOGPIE et PyPlunderPlug.

Threat Analysis

À partir de janvier 2025, Insikt Group a détecté de nouvelles charges utiles de première phase du TAG-110, ce qui laissait penser que les acteurs malveillants étaient en train de modifier leurs tactiques. Auparavant, TAG-110 utilisait des documents Word avec macros activées pour livrer HATVIBE, un malware basé sur HTA, pour un accès initial. Les documents récemment détectés ne contiennent pas la charge utile HTA HATVIBE intégrée pour créer une tâche planifiée et utilisent plutôt un fichier modèle global placé dans le dossier de démarrage de Word pour assurer la persistance.

Analyse de document

Tableau 1 : Métadonnées de d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 (Source : Recorded Future)

Le premier document (Figure 1) semble être un avis aux forces armées du Tadjikistan sous la garantie de la radioprotection. La traduction automatique a traduit incorrectement « РT » par « République du Tartarstan », mais dans le contexte général du document, cela fait probablement référence à la « République du Tadjikistan », car « республика татастастана » est utilisé à la place de « PT » plus loin dans le document. Insikt Group n'a pas été en mesure de vérifier l'authenticité du document, mais TAG-110 a historiquement utilisé des documents légitimes comme leurres.

Table 2: Métadonnées de 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 (Source : Recorded Future)

Le deuxième document (Figure 2) semble être un calendrier relatif aux élections à Douchanbé, la capitale du Tadjikistan. Au moment de la rédaction du rapport, Insikt Group n'a pas pu vérifier l'authenticité du document.

VBA Macros

Les deux fichiers d'exemple, d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 and 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7, partagent les mêmes fonctionnalités et la même infrastructure de commande et de contrôle (C2), avec seulement une légère modification des méthodes de communication C2. La figure 3 présente le code source de ces documents Word malveillants.

Analyse des sous-procédures

Procédure Sub Document_Open()

Lorsque le fichier malveillant est ouvert, l'événement document.open est déclenché et le reste du code effectue les opérations suivantes :

• Veuillez déprotéger le document à l'aide de la clé "gyjyfyjrtjrtjhfgjfrthrtj"
• Masquer les erreurs d’orthographe
• Essaye de régler la largeur de la ligne de police à 0
• Copy itself to the Word startup folder (%APPDATA%\Microsoft\Word\STARTUP<filename>.dotm) in XML template format with macros enabled for persistence

Procédure Sub AutoExec()

Une fois le document ajouté au dossier de démarrage de Word, il est traité comme un modèle global et exécutera la macro automatique AutoExec à chaque démarrage de Microsoft Word. La macro AutoExec effectue les opérations suivantes :

• Vérifie la dernière fois que Microsoft Word a été lancé ; cette information est stockée et conservée par le modèle global dans l'emplacement du registre HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Options\LastTime. Si la valeur de LastTime est inférieure à 60 secondes, AutoExec mettra fin à l'exécution.
• Collecte les informations système suivantes et les stocke au format JSON : -- Nom de l'ordinateur -- Nom d'utilisateur -- Région -- Résolution du moniteur -- Langue -- Version du système
• Attend trois secondes avant d'exécuter la procédure getInfo()Sub, conformément à la figure 5.

Procédure Sub getInfo()

La sous-procédure getInfo() initie la communication entre la victime et le serveur C2. La procédure accomplit cela en effectuant les opérations suivantes :

• Crée un objet de requête HTTP et effectue une requête HTTP POST vers l'URL http://38.180.206[.]61/engine.php.
• Selon la Figure 7, la requête HTTP présente les caractéristiques suivantes :
  • En-tête Content-type défini sur application/x-www-form-urlencoded
  • En-tête User-Agent défini sur un identifiant encodé en Base64 unique dans les deux échantillons.
  • Veuillez envoyer les données au format opamczqwe=&ywalkmsz=
• Si la réponse du serveur C2 commence par "% % % % ,"», la procédure Sub prendra le reste de la chaîne après cela et l'utilisera comme argument dans la procédure Sub start.
• Si la réponse HTTP du serveur ne commence pas par ",%,%,%,% ou", le programme attendra dix secondes et réessaiera jusqu'à obtenir une réponse commençant par «%,%,% ou%».
• L'exemple d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 utilise une boucle de comptage où les données collectées ne sont envoyées que tous les dix POST HTTP. alors que l'exemple 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 n'envoie les données collectées que lors de la première requête HTTP POST.

Procédure Sub start()

La sous-procédure start() est probablement utilisée pour exécuter du code VBA supplémentaire fourni dans les réponses C2. La procédure Sub accomplit cette tâche en effectuant les opérations suivantes :

• Elle divise la réponse C2 restante en utilisant la chaîne « ### » comme délimiteur et stocke les valeurs dans un tableau
• Ce tableau de chaînes est utilisé comme variables, probablement pour créer un bloc de code similaire à ceux utilisés dans les documents Word précédents compatibles avec les macros TAG-110, tels que 6ac6a0dd78d2e3f58e95fa1a20b3ab22b4b49a1ab816dcfb32fd6864e1969ac3, comme illustré à la figure 8.
• Les valeurs du tableau sont utilisées pour créer un objet COM (probablement WScipt.shell d'après le chevauchement de code provenant du code VBA précédent utilisé par TAG-110) et écrites dans une valeur du registre.
  • Cela modifie probablement HKEY_CURRENT_USER\Software\Microsoft\Office\\Word\Security\AccessVBOM dans le registre, car cette tactique a été utilisée dans les campagnes précédentes.
  • Cette modification du registre permet aux macros VBA de modifier et d'accéder à d'autres projets VBA
• Un autre objet COM (probablement Word.Application, d'après le chevauchement de code provenant du code VBA précédent utilisé par TAG-110) lancera Microsoft Word en arrière-plan, créera un nouveau document dans cette instance de Microsoft Word, ajoutera un module VBA et l'exécutera après trois secondes.

Infrastructure malveillante

The files d60e54854f2b28c2ce197f8a3b37440dfa8dea18ce7939a356f5503ece9e5eb7 and 8508003c5aafdf89749d0abbfb9f5deb6d7b615f604bbb11b8702ddba2e365e7 partagent le même serveur C2, 38.180.206[.]61. Cette adresse IP a été précédemment identifiée comme un serveur C2 HATVIBE et attribuée à TAG-110 par Sekoia. Au moment de l'analyse, Insikt Group n'a pas été en mesure d'obtenir des modules VBA supplémentaires de deuxième étape. Cependant, compte tenu de l'activité historique et des outils utilisés par TAG-110, il est probable qu'un premier accès réussi via les modèles macro-activés aboutisse au déploiement de logiciels malveillants supplémentaires, tels que HATVIBE, CHERRYSPY, LOGPIE, ou éventuellement une nouvelle charge utile développée sur mesure et conçue pour des opérations d'espionnage.

Mitigations

• Surveillez la création ou la modification de fichiers modèles globaux dans le dossier de démarrage de Microsoft Word, ce qui peut indiquer un abus persistant des macros.
• Détectez et examinez les modifications apportées au registre AccessVBOM sous HKEY_CURRENT_USER\Software\Microsoft\Office<Version>\Word\Security, qui peuvent indiquer des tentatives d'activation ou de manipulation du comportement des macros VBA.
• Désactivez les macros par défaut dans les applications Microsoft Office et implémentez des objets de stratégie de groupe (GPO) pour empêcher les utilisateurs de les activer, sauf approbation explicite.
• Utilisez Recorded Future® Threat Intelligence pour surveiller la nouvelle infrastructure TAG-110, les signatures de malwares et les indicateurs de documents de phishing.
• Intégrez les modules Recorded Future Threat Intelligence aux plateformes SIEM et SOAR afin de recevoir des alertes en temps réel sur les activités liées au TAG-110 et à d'autres acteurs malveillants alignés sur la Russie.

Outlook

Sur la base des rapports actuels et précédents d'Insikt Group, le TAG-110 utilise régulièrement des documents de spearphishing activés par macros pour diffuser des malwares et établir leur persistance dans les environnements cibles. Insikt Group s'attend à ce que TAG-110 continue d'exploiter les événements régionaux et les thèmes bureaucratiques pour concevoir ses leurres. Nous nous attendons également à ce que les entités liées au gouvernement, à la défense ou aux infrastructures publiques en Asie centrale continuent d'être prises pour cible, notamment lors d'événements sensibles tels que des élections ou des activités militaires.

To read the entire analysis, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Appendix B: MITRE ATT&CK Techniques