Ce groupe marocain de hackers, actif depuis 2021, sous l’appellation Storm-0539 ou encore Atlas Lion, s’est spécialisé, selon les enquêteurs américains dans le vol de cartes cadeau bancaires par fraude. Derrière de faux sites web caritatifs, ils arrivent en effet à tromper les entreprises de cloud pour obtenir un accès gratuit aux ordinateurs en ligne. Après quoi, ils passent par les employés des magasins connectés pour accéder à leurs systèmes de cartes cadeau, qu’ils volent sans dépasser la limite, pour ne pas être repérés.
Le FBI a également mis en garde contre les activités frauduleuses du groupe basé au Maroc. Dans une note datée du 6 mai, sa Cyber Division a rapporté avoir repéré, en janvier 2024, « un groupe de cybercriminels appelé STORM-0539, également connu sous le nom d’Atlas Lion, ciblant des entreprises de vente au détail nationales et surtout les cartes cadeau ». Ajoutant que « STORM-0539 a utilisé des campagnes de smishing pour cibler les employés et obtenir un accès non autorisé aux comptes des employés et aux systèmes corporatifs. Il a ensuite eu recours aux campagnes de phishing pour cibler d’autres employés et élever les privilèges réseau », a expliqué le FBI.
Dans ses actions de smishing, le groupe cible les téléphones mobiles personnels et professionnels des employés, dans les départements de vente au détail. Le FBI a détaillé les techniques utilisées, dont un « kit de phishing sophistiqué capable de contourner l’authentification multifacteurs ». Une fois l’intrusion effectuée sur le compte d’un membre du personnel, le groupe « effectue des reconnaissances sur le réseau de l’entreprise pour identifier le processus commercial des cartes cadeau, puis il s’intéresse aux comptes des employés couvrant ce portefeuille spécifique ».
Plus, les cybercriminels tentent d’accéder aux mots de passe et clés de shell sécurisé (SSH), en plus de cibler les identifiants des employés dans le département des cartes cadeau. Après accès, des «cartes cadeau frauduleuses sont créées, à travers les comptes compromis des employés». Leurs manœuvres incluent également « l’exfiltration des données des employés, y compris les noms, noms d’utilisateur et numéros de téléphone, susceptibles d’être exploités pour des attaques supplémentaires ou vendus à des fins lucratives».
Emiel Haeghebaert, analyste senior au Microsoft Threat Intelligence Center, révèle que le groupe se composerait de pas plus d’une douzaine de personnes au Maroc. « Ils se connectent essentiellement au lieu de forcer l’accès », a-t-il expliqué. Microsoft a pu identifier le groupe « créant des domaines pour se faire passer pour des organisations à but non lucratif légitimes, telles que des refuges pour animaux et des associations caritatives aux Etats-Unis et en Europe, et obtenant des copies de correspondance avec l’Internal Revenue Service les désignant comme des organisations à but non lucratif légitimes ».
« Les reconnaissances du groupe et leur capacité à exploiter les environnements de cloud sont similaires à ce que Microsoft observe chez les acteurs de menace parrainés par des Etats-nations », selon le rapport Cyber Signals élaboré par enquêteur au mois de mai. Pour l’heure, les recherches n’ont pas permis de faire une estimation des sommes volées à travers ces opérations de cybercriminalité.