Bismuth est le nom donné par Microsoft à un groupe de cyberespionnage originaire du Vietnam (et donc rien à voir avec Paul Bismuth, le nom utilisé comme alias par Nicolas Sarkozy ^^) et qui agirait avec le soutien du gouvernement de Hanoï. Actif depuis 2012, il est autrement connu en tant que OceanLotus ou APT32 comme le nomme FireEye.

APT32 a surtout été associé à des attaques de cyberespionnage contre des multinationales, gouvernements, services financiers, établissements d'enseignement ou encore des organisations de défense des droits de l'homme.

Les chercheurs en sécurité de Microsoft 365 Defender Threat Intelligence Team rapportent des campagnes d'attaque atypiques de Bismuth l'été dernier. Le groupe a déployé un malware de cryptominage (pour la cryptomonnaie Monero) dans des attaques ayant visé le secteur privé et des institutions publiques en France et au Vietnam.

ransomware
Selon Microsoft, les objectifs du groupe restent globalement les mêmes avec du cyberespionnage et de l'exfiltration de données. Inattendu, le cryptominage malveillant serait un moyen d'explorer des possibilités de monétisation de réseaux compromis.

Aussi pour brouiller les pistes

Des experts en cybersécurité ont déjà signalé que des groupes APT ont dérivé des seules activités de cyberespionnage pour le compte d'un État, et ont flirté avec de la cybercriminalité et l'appât du gain financier. Mais cela peut aussi être un jeu de dupe avec une manière de brouiller les pistes sur les visées réelles d'une cyberattaque.

Les chercheurs de Microsoft ont constaté que le groupe Bismuth a tenté d'obtenir un accès au réseau d'une victime avec l'envoi d'emails malveillants spécialement conçus depuis un compte Gmail. Il a également eu recours à des fichiers DLL malveillants pour usurper des fichiers légitimes, et notamment de Microsoft Defender Antivirus. Pour l'attaque, le groupe s'est aussi appuyé sur des scripts PowerShell.

Reste à voir si l'aventure de Bismuth dans la cybercriminalité restera une exception ou non. Rappelons que la Corée du Nord a été accusée de soutenir des cyberattaques sophistiquées pour générer des revenus et passer outre des sanctions économiques à son encontre.