Techniquement, ce trojan, du nom de PEAPOD, est un Remote Access Tool (RAT). Son rôle est d'assurer un accès distant à la machine visée en y installant une porte dérobée. Il est introduit par des campagnes de spearphishing ultra ciblées, et par des adwares disséminés sur Bing et Chrome.
Ce RAT est une mise à jour d'un autre, RomCom. Tous deux sont capables, une fois en place, d'interagir avec un server C2 (Command&Control) qui exécutera des commandes sur la cible par l'intermédiaire du RAT.
Les attaquants sont un APT (un groupe cyber-criminel à la solde d'un état) aux noms multiples, mais connus dernièrement sous le nom de Void Rabisu, et qui mélangent les attaques à motivation vénale avec l'espionnage.
RomCom a été utilisé précédemment contre l'Ukraine et ses alliés. La campagne PEAPOD en cours cible le personnel militaire de l'union européenne et les responsables politiques impliqués dans des initiatives sur l'égalité des genres.
L'hypothèse de Trend Micro (une société spécialisée dans la sécurité des servers) est qu'il s'agit à l'origine d'un groupe vénal devenu un APT spécialisé dans le cyberespionnage dans des circonstances particulières (le début de la guerre en Ukraine).
Un article The Hacker News :
https://thehackernews.com/2023/10/new-peapod-cyberattack-campaign.html
