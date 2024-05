Selon Georgy Kucherin, chercheur en sécurité chez Kaspersky, la nature et la méthode des cyberattaques menées récemment par The Mask prouvent que le groupe n'a rien laissé au hasard et est resté, durant son absence, à l'affût des dernières méthodes. « Les implants récemment découverts sont des cadres multimodaux complexes, avec des tactiques et des techniques de déploiement à la fois uniques et sophistiquées. Leur présence indique la nature avancée des opérations de Careto », explique-t-il.

Pourtant, le retour de The Mask ne s'est pas fait par la grande porte, mais plutôt par le serveur de messagerie MDaemon, utilisé par ses deux victimes, ce qui donne un petit indice sur la nature, sinon l'identité de la cible : de petites ou moyennes entreprises. Après avoir forcé cette porte, ils en ont installé une autre, mais une back door, sur ce serveur, pour prendre le contrôle du réseau et profiter, au passage, de la présence du scan de virus Hitman Pro, utilisé par ses entreprises en guise de protection pour mettre en place leur fameuse persistance. Quant aux quatre implants, Kaspersky a préféré rester discret sur la faille qui a permis à The Mask de les introduire, pour éviter d'aiguiser les appétits d'autres gangs. Pas folle, la guêpe.