Report an incident

Get 24/7 incident response assistance from our global team

Talk to sales

Just fill out the form, and our representative will contact you soon.

Join the Cybercrime Fighters Club

Please review the following rules before submitting your application:

1. Our main objective is to foster a community of like-minded individuals dedicated to combatting cybercrime and who have never engaged in Blackhat activities.

2. All applications must include research or a research draft. You can find content criteria in the blog. Please provide a link to your research or research draft using the form below.

← Blog
Rustam Mirkasymov
Rustam Mirkasymov
Senior Targeted Threat Researcher

Armés et dangereux : une soif d’argent inextinguible L’APT OPERA1ER en Afrique

En 2019, l'équipe Threat Intelligence de Group-IB a détecté une série d'attaques ciblant des organisations financières en Afrique.

November 3, 2022 · min to read · Threat Intelligence
Africa
APT
OPERA1ER
Threat Intelligence

En 2019, l’équipe Threat Intelligence de Group-IB a détecté une série d’attaques ciblant des organisations financières en Afrique. Plus tard en 2020, nos experts, en collaboration avec Orange, ont réussi à rassembler toutes les attaques et à les attribuer avec succès à un acteur malveillant nommé OPERA1ER (également connu sous le nom de DESKTOP-GROUP, Common Raven, NXSMS).

Notre recherche la plus récente

En 2021, en collaboration avec Orange CERT-CC, l’idée est venu de publier un rapport complet (maintenant connu sous le nom de “OPERA1ER. Jouer à Dieu sans permission“) qui décrirait en détail cette menace persistante, cartographierait tous les TTP et les méthodes que ce groupe criminel utilise et qui sont restées inaperçues dans le réseau pendant des années.

Actif et dangereux de 2018 à 2022, le gang francophone a réussi à mener plus de 30 attaques réussies contre des banques, services financiers et entreprises de télécommunications, principalement situés en Afrique. Il est confirmé qu’OPERA1ER a dérobé au moins 11 millions de dollars, selon Group-IB.

De toute évidence, ces attaquants manquent rarement de ressources, et ils ont inévitablement remarqué un intérêt croissant pour leur activité et ont réagi en supprimant leurs comptes et en modifiant certains TTP afin de brouiller les pistes. Nous risquions alors de les perdre de vue. Pour éviter que cela ne se produise, l’équipe de Group-IB a décidé de suspendre la publication de notre rapport et d’attendre qu’ils réapparaissent.
Le moment est venu

Après tout ce temps, nous sommes ravis d’enfin publier ce rapport “OPERA1ER : Jouer à Dieu sans permission” en étroite collaboration avec Orange CERT-CC. Ce rapport est vraiment unique : il récapitule plusieurs années de recherche et d’expérience pratique, et illustre le résultat parfait d’une collaboration internationale ainsi que les contributions inestimables de nombreuses organisations et experts.

Nous sommes extrêmement reconnaissants de leur soutien. Vous trouverez une liste complète des contributeurs dans ce rapport.

De nouvelles découvertes

Les acteurs malveillants développent constamment de nouveaux TTP et, en août 2022, avec l’aide de Przemyslaw Skowron, Group-IB a identifié de nouveaux serveurs Cobalt Strike utilisés par OPERA1ER.

Nos équipes ont analysé l’infrastructure nouvellement détectée, révélant que de la fin de la rédaction du rapport à aujourd’hui, cet attaquant avait mené 5 autres attaques ciblant :

  • Une banque au Burkina Faso en 2021
  • Une banque en Bénin en 2021
  • Deux banques en Côte d’Ivoire en 2022
  • Une banque au Sénégal en 2022

De plus, il est important de garder à l’esprit que certains IOC et certains conseils de chasse présentés dans le rapport sont désormais obsolètes, mais il est intéressant de lire cet article jusqu’à la fin pour obtenir des mises à jour importantes. La matrice MITRE se retrouve donc dans une situation similaire et nous vous recommandons de la lire en utilisant les informations mises à jour des 5 nouvelles attaques indiquées infra.

Dans cet article, nous partageons des indicateurs réseau pertinents et à jour et des techniques de chasse supplémentaires, que vous pourrez trouver ci-dessous. Ces résultats supplémentaires sont supposés combler les lacunes dans l’historique de cet APT afin que la communauté de la cybersécurité puisse mieux suivre l’activité d’OPERA1ER, mais le rapport complet est indispensable afin d’obtenir une vue globale.

OPERA1ER: Ceux qui jouent à Dieu sans y avoir été autorisés

Le groupe, équipé seulement d’outils « prêts à l’emploi », est parvenu à dérober des millions à des opérateurs de télécommunications et fournisseurs de services financiers.

Télécharger le rapport

Chasser la nouvelle infrastructure

Tout d’abord, m. Skowron remarqua que l’attaquant utilisait une PublicKey spécifique sur ses serveurs Cobalt Strike : “PublicKey_MD5”: “52c66274994172447b21054744cc5b69”.

En utilisant cette empreinte, nous avons identifié les serveurs :

  • files[.]ddrive[.]online
  • 20[.]91[.]192[.]253
  • 188[.]126[.]90[.]14

En utilisant l’outil Graph de Group-IB Threat Intelligence, nous avons pu mener une enquête en profondeur:

D’après le Graph, les trois serveurs trouvés sont connectés à l’infrastructure mentionnée dans notre rapport. Les empreintes alors trouvées sur ces serveurs sont :

  • Utilisation de BitRAT
  • Utilisation d’infrastructures VPN comme FrootVPN
  • Utilisation de DynDNS

La seule partie manquante ici est un écouteur Cobalt Strike sur le port 777. Nous connaissons son existence car nous avons observé OPERA1ER déployer des Beacons Cobalt Strike. Avec une analyse détaillée, Group-IB a pu identifier une nouvelle heuristique pour chasser l’infrastructure malveillante d’OPERA1ER.

Avec le Graph, nous avons également détecté :

  • banqueislamik[.]ddrive[.]online
  • 178[.]73[.]192[.]17
  • 46[.]246[.]84[.]17
  • 46[.]246[.]84[.]21

L’un des serveurs contient une autre PublicKey :

Avec cette PublicKey, les serveurs suivants ont été identifiés :

  • 43[.]205[.]33[.]202
  • 46[.]246[.]84[.]74
  • 72[.]11[.]142[.]240
  • 178[.]73[.]192[.]17

Pendant l’analyse des serveurs supra, nous avons trouvé une nouvelle heuristique pour identifier les autres :

Empreinte SSH:“657a78dcd2c190f00b2f4ef745dd2cdd”

Comme nous l’avons indiqué, n’hésitez pas à consulter le rapport complet “OPERA1ER : Jouer à Dieu sans permission” pour obtenir les informations complètes sur les opérations d’OPERA1ER. Si vous souhaitez en apprendre plus sur notre Graph Threat Intelligence, vous pouvez contacter nos experts.

IOC

  • 43[.]205[.]33[.]202
  • 46[.]246[.]84[.]74
  • 72[.]11[.]142[.]240
  • 178[.]73[.]192[.]17
  • banqueislamik[.]ddrive[.]online
  • 46[.]246[.]84[.]17
  • 46[.]246[.]84[.]21
  • files[.]ddrive[.]online
  • 20[.]91[.]192[.]253
  • 188[.]126[.]90[.]14
  • 2707299e9ec7fb2173f6afb2e23a4d74865cf5a3
  • 17e0b8fe9acfd1776a1566ce5ed6f051f7e0f91f
  • ac85af8395d1b97a8cbcbd16f995ce119e3c4955
Rustam Mirkasymov
Rustam Mirkasymov
Senior Targeted Threat Researcher
More posts
November 26, 2025
Bloody Wolf: A Blunt Crowbar Threat To Justice
Multi-Stage Phishing Kit
November 13, 2025
Uncovering a Multi-Stage Phishing Kit Targeting Italy’s Infrastructure
November 5, 2025
Ghosts in /proc: Manipulation and Timeline Corruption
View all
Table of contents