Des experts en cybersécurité ont révélé l’existence d’une campagne de cyberattaque visant le ministère des Finances des Taliban ainsi que plusieurs institutions gouvernementales afghanes. Selon les chercheurs, l’opération aurait probablement été menée par le groupe de pirates informatiques connu sous le nom de SideCopy.
D’après les analyses publiées, les attaquants ont utilisé des courriels de phishing contenant des fichiers compressés et des documents malveillants rédigés en pachto afin de tromper leurs cibles et d’obtenir un accès aux systèmes informatiques utilisés par les administrations concernées.
L’utilisation du pachto dans les documents piégés laisse penser que les auteurs de l’attaque disposaient d’une connaissance relativement précise des utilisateurs visés et de l’environnement administratif afghan.
Les chercheurs indiquent que les cibles ne se limitaient pas au ministère des Finances. Des administrations chargées des finances et des recettes dans plusieurs provinces, des responsables gouvernementaux pachtophones ainsi que des employés d’administrations locales figuraient également parmi les objectifs de l’opération.
Selon le rapport, le logiciel malveillant utilisé possède des capacités étendues. Il peut enregistrer les frappes au clavier, capturer des images de l’écran, accéder à la caméra et au microphone d’un appareil, voler des données sensibles et établir des communications discrètes avec des serveurs contrôlés par les attaquants.
Les spécialistes expliquent également que le programme malveillant tente de passer inaperçu en se présentant comme le navigateur Microsoft Edge. Il utilise en outre certains mécanismes du registre Windows afin de maintenir sa présence sur les systèmes compromis pendant une longue période.
Les chercheurs en cybersécurité associent SideCopy à un réseau plus vaste connu sous le nom de Transparent Tribe ou APT36. Ce groupe a été accusé à plusieurs reprises d’avoir mené des opérations de cyberespionnage contre diverses cibles en Asie du Sud, notamment en Inde.
La publication de cette analyse intervient alors que des informations ont récemment fait état d’attaques similaires visant des infrastructures militaires indiennes. Dans ces opérations, les pirates utilisaient également des fichiers infectés transmis par courrier électronique ou via des applications de messagerie comme WhatsApp afin de compromettre les systèmes ciblés.
Dans ce type d’attaque, la compromission intervient généralement lorsque la victime ouvre un document infecté. Le logiciel malveillant s’exécute alors discrètement, établit une connexion avec les serveurs des attaquants et leur permet de prendre le contrôle du système à distance.
Les experts avertissent que de telles opérations peuvent conduire au vol de documents confidentiels, à l’accès à des informations financières sensibles et à une surveillance complète des activités des utilisateurs visés.
Au-delà du cas afghan, cette affaire illustre l’importance croissante de la cybersécurité dans les institutions publiques. À mesure que les rivalités sécuritaires et les activités de renseignement se déplacent vers l’espace numérique, les cyberattaques deviennent un outil stratégique de plus en plus utilisé par les acteurs étatiques et non étatiques. Pour de nombreux experts, la capacité des gouvernements à protéger leurs infrastructures numériques est désormais devenue un enjeu majeur de sécurité nationale.
