DarkGaboon utilise LockBit en Russie

Qui se cache derrière DarkGaboon ?

Un nouveau groupe cybercriminel, nommé DarkGaboon, a été mis au jour par firmes russes de cybersécurité. Il cible des entreprises russes depuis début 2023, mais a été détecté officiellement en janvier 2025 par Positive Technologies.

• DarkGaboon sévit dans plusieurs secteurs : bancaire, distribution, tourisme, services publics.
• Bien que détecté début 2025, ses opérations remontent en réalité à 2023.

Mode opératoire de DarkGaboon

Dans sa campagne la plus récente (printemps 2025), DarkGaboon utilise une variante du ransomware LockBit 3.0 pour chiffrer les systèmes de ses cibles.

• LockBit 3.0 est une version du ransomware dont le code a été publié en 2022, largement utilisée depuis par divers cybercriminels.
• Contrairement au modèle classique “Ransomware-as-a-Service” avec affiliés, DarkGaboon agirait de manière indépendante.

Attaque par hameçonnage

Leur vecteur initial est l'email de phishing en russe, déguisé en document financier urgent. Ces documents mimétiques sont basés sur des modèles crédibles téléchargés sur des sources russophones.

Implantation du ransomware

Une fois la victime infectée, DarkGaboon déploie LockBit 3.0 pour :

• chiffrer les fichiers présents,
• laisser une rançon avec note en russe, comportant deux adresses email identiques à celles utilisées par LockBit en 2023.

À ce jour, aucune preuve d’exfiltration de données (« double extorsion ») n’a été signalée.

Attribution et tactiques

Positive Technologies n’a pas identifié les responsables de DarkGaboon, mais estime qu’ils sont russophones.

Le groupe a recours à des outils open source bien connus :

• Revenge RAT
• XWorm
• LockBit 3.0

Cela les aide à se fondre dans la masse de la cybercriminalité répandue et complexifie l’attribution.

Contextualisation de LockBit

LockBit est un ransomware majeur apparu en septembre 2019.

• Streameur RaaS, il représente environ 44 % des incidents de ransomware en 2022.
• LockBit 3.0, version majeure sortie en mai 2022, chiffre rapidement les données en ajoutant « .lockbit » comme extension, et fournit une interface de négociation.
• Le code source a fuité en septembre 2022, ce qui a multiplié les variantes et affluents anonymes en 2023.

Exemples d’attaques antérieures en Russie

DarkGaboon n’est pas le seul à utiliser LockBit en Russie :

• Sayanmoloko, la plus grande laiterie de Sibérie, a subi une attaque en décembre 2024, peu après avoir fourni des drones pour l’armée.
• Autres organismes russes, parfois d’ampleur, ont été touchés, bien que les coupables ne soient pas clairement identifiés.

Défis et implications

Attribution fragmentée

DarkGaboon dilue sa signature en utilisant des outils populaires et une note de rançon générique. Les emails en russe et adresses identiques à celles utilisées en mars‑avril 2023 montrent un lien fort avec LockBit, mais ne permettent pas à eux seuls d’en attribuer la responsabilité.

Sécurité des entreprises russes

Ces attaques montrent que même les firmes russes, réputées souvent mieux préparées, ne sont pas à l'abri de ransomwares sophistiqués.

Contexte géopolitique

Ce phénomène survient dans un contexte de cyber‑guerre russo‑ukrainienne, où les attaques à motivation politique et financière se croisent. DarkGaboon semble privilégier un enrichissement monétaire plutôt qu’un objectif idéologique ou stratégique.

Recommandations

En résumé :

• DarkGaboon est un acteur distinct qui utilise intelligemment LockBit 3.0 en ciblant la Russie.
• Il opère de manière indépendante et utilise des pièges de phishing linguistiquement adaptés.
• Au moment de reporter, il n’y a pas de trace d’exfiltration, mais le risque reste élevé.

Recommandations : renforcer la formation anti‑phishing, améliorer la surveillance réseau, segmenter les infrastructures et préparer des plans de réponse face aux ransomwares.

Références : New hacker group uses LockBit ransomware variant to target Russian companies – The Record, 9 juin 2025.