Sea Turtle, un groupe de menace persistante avancée (APT) lié au gouvernement turc, est réapparu après avoir été indétecté depuis 2020. Selon des rapports récents du fournisseur néerlandais de cybersécurité Hunt & Hackett, Sea Turtle a mené plusieurs campagnes d'espionnage ciblant les fournisseurs de télécommunications, les médias, les entreprises informatiques et les fournisseurs de services Internet (ISP) aux Pays-Bas entre 2021 et 2023, ainsi que des sites affiliés au peuple kurde.

Le groupe, connu pour le détournement de DNS, a adapté ses tactiques en utilisant des comptes cPanel compromis et en déployant le logiciel malveillant SnappyTCP, capable d'exécuter des commandes malveillantes et de voler des données. Les activités de Sea Turtle sont en accord avec les intérêts stratégiques de la Turquie, comme le notent les rapports de Microsoft et de PwC, se concentrant sur la collecte de renseignements dans des régions spécifiques telles que la Grèce, Chypre, l'Irak et la Syrie.

Pour atténuer les attaques de Sea Turtle, Hunt & Hackett recommande le déploiement d'outils de détection et de réponse sur les points de terminaison (EDR), l'application de politiques de mots de passe robustes avec une gestion sécurisée, la mise en place d'une authentification multi-facteurs (MFA) et la restriction de l'accès SSH pour réduire l'exposition aux activités malveillantes.

Source : Kevin Poireault, Infosecurity Magazine, 8 janvier 2024