Russia-Aligned TAG-70 Targets European Government and Military Mail Servers in New Espionage Campaign

Le groupe Insikt de Recorded Future a identifié TAG-70, un acteur de la menace opérant probablement pour le compte de la Biélorussie et de la Russie, qui mène des activités de cyberespionnage contre des entités gouvernementales, militaires et d'infrastructures nationales en Europe et en Asie centrale depuis au moins décembre 2020. TAG-70 coïncide avec des activités signalées par d'autres fournisseurs de sécurité sous les pseudonymes Winter Vivern, TA473 et UAC-0114.

Lors de sa dernière campagne, qui s'est déroulée entre octobre et décembre 2023, TAG-70 a exploité des vulnérabilités de type cross-site scripting (XSS) dans les serveurs de messagerie web Roundcube pour cibler plus de 80 organisations, principalement en Géorgie, en Pologne et en Ukraine. Cette campagne a été liée à d'autres activités TAG-70 contre les serveurs de messagerie du gouvernement de l'Ouzbékistan, qui ont impliqué une infrastructure signalée par Insikt Group en février 2023.

TAG-70’s targeting of Roundcube webmail servers is only the most recent instance of targeting email software attributed to Russia-aligned threat actor groups. In June 2023, Insikt Group discovered that the Russian state-sponsored cyber-espionage group BlueDelta (APT28, Fancy Bear) was targeting vulnerable Roundcube installations across Ukraine and had previously exploited CVE-2023-23397, a critical zero-day vulnerability in Microsoft Outlook in 2022. Other well-known Russian threat actor groups, such as Sandworm and BlueBravo (APT29, Midnight Blizzard), have also previously targeted email solutions in various campaigns.

Geographic spread of victims of TAG-70s Roundcube exploit in October 2023 (Source: Recorded Future)

In this campaign, beginning on March 16, 2023, Insikt Group used Recorded Future Network Intelligence to detect suspicious activity from a victim IP address belonging to the Center for Economic Research and Reforms of Uzbekistan. The victim IP address was observed communicating with the domain bugiplaysec[.]com over TCP port 443, which at the time resolved to IP address 176.97.66[.]57. This data was then likely relayed to command and control (C2) IP address 198.50.170[.]72 on TCP port 7662. It is suspected that TAG-70 administered 198.50.170[.]72 via Tor. CERT-UA attributed the domain bugiplaysec[.]com to TAG-70 in February 2023.

Insikt Group observed similar activity between an IP address registered to the Embassy of the Republic of Uzbekistan in Ukraine and a previously reported C2 domain, ocsp-reloads[.]com, which resolved to IP address 38.180.2[.]23. This additional C2 likely forwarded the data it received to IP address 86.105.18[.]113 on TCP port 1194 and TAG-70 likely connected to the C2 via Tor, also below.

Infrastructure opérationnelle du TAG-70 en mars 2023 (Source : Recorded Future)

On July 27, 2023, a new TAG-70 domain, hitsbitsx[.]com, resolved to IP address 176.97.66[.]57. Insikt Group also detected this domain in a JavaScript-based malware sample uploaded to a malware repository (SHA256: ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e). The discovered JavaScript malware matches the second-stage loader used in TAG-70’s previous Roundcube exploitation described by ESET. This JavaScript is loaded via XSS from a malicious email and is used to decode a Base64-encoded JavaScript payload (jsBodyBase64). The payload is then inserted into the Document Object Model (DOM) of the Roundcube webpage within a newly created script tag.

Le contenu de la charge utile JavaScript, jsBodyBase64, illustré à la Figure 3, suggère que les acteurs ciblaient le domaine mail du ministère géorgien de la Défense mail[.]mod[.]gov[.]ge. La structure de cette charge utile est identique à celle décrite dans le rapport d'ESET, mais sa fonctionnalité est différente : au lieu d'exfiltrer le contenu de la messagerie de la victime, elle déconnecte l'utilisateur de Roundcube et lui présente une nouvelle fenêtre de connexion. Lorsque la victime soumet ses informations d'identification, son nom de compte, son nom d'utilisateur et son mot de passe sont envoyés au serveur C2, puis elle est connectée à Roundcube.

Insikt Group also identified a related JavaScript sample from November 2022 (SHA256: 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26). This older sample was hosted on the domain bugiplaysec[.]com, used the same JavaScript loader technique, and had a similar credential exfiltration payload. The content within the payload suggests that it was used to target the Ukrainian Ministry of Defence.

The compromised email servers represent a significant risk, particularly in the context of the ongoing conflict in Ukraine. They could expose sensitive information about Ukraine's war effort, its diplomatic relations, and its coalition partners. Moreover, the targeting of Iranian embassies in Russia and the Netherlands suggests a broader geopolitical interest in assessing Iran's diplomatic activities, especially regarding its support for Russia in Ukraine. Similarly, espionage against Georgian government entities reflects interests in monitoring Georgia's aspirations for European Union (EU) and NATO accession.

Mitigation Strategies

Pour atténuer le risque posé par la campagne TAG-70, les organisations doivent s’assurer que leurs installations Roundcube sont corrigées et mises à jour, tout en recherchant activement des indicateurs de compromission (IoC) dans leurs environnements. La sophistication des méthodes d’attaque de TAG-70 et le fait qu’il cible des entités gouvernementales et militaires soulignent la nécessité de prendre des mesures de cybersécurité robustes et de déployer des efforts proactifs de renseignements sur les menaces. La nature étendue des activités de TAG-70 et son impact potentiel sur la sécurité nationale soulignent l’urgence de la vigilance et de la préparation des organisations et des agences gouvernementales concernées.

Remarque : ce résumé du rapport a été publié pour la première fois le 16 février 2024 et a été mis à jour le 29 octobre 2024. L'analyse et les résultats d'origine restent inchangés.

To read the entire analysis, click here to download the report as a PDF.

Appendix A — Indicators of Compromise

Appendix B — MITRE ATT&CK Techniques