La recherche conjointe confirme que TA397 est un acteur de menace parrainé par l’État et axé sur l’espionnage, chargé de collecter des renseignements dans l’intérêt de l’État indien. La recherche inclut également des preuves, déjà dévoilées, du ciblage du groupe en dehors de l’Asie.

Les principales conclusions sont les suivantes :

• Les chercheurs de Proofpoint estiment qu’il est fort probable que TA397 soit un acteur de menace parrainé par un État, chargé de collecter des renseignements dans l’intérêt de l’État indien.
• TA397 cible fréquemment les organisations et entités en Europe qui ont des intérêts ou une présence en Chine, au Pakistan et dans d’autres pays voisins du sous-continent indien. Le groupe se fait passer pour des bureaux étrangers, des ambassades et des entités gouvernementales de Madagascar, de Maurice, etc.
• TA397 opère pendant les heures de travail standard du fuseau horaire indien (IST).
• Le groupe expérimente fréquemment ses méthodes de diffusion pour charger les tâches planifiées. Ces dernières ainsi que les modèles d’URL PHP, la présence du nom d’ordinateur et du nom d’utilisateur d’une victime dans le balisage, ainsi que les certificats Let’s Encrypt sur les serveurs de l’attaquant fournissent une empreinte digitale très fiable pour détecter l’activité du groupe.

Les chercheurs Proofpoint précisent « Les secteurs ciblés par TA397 que nous avons observés sont également très caractéristiques des acteurs malveillants spécialisés dans l’espionnage. Les gouvernements, les entités diplomatiques et les organisations de défense sont fréquemment ciblés afin de permettre la collecte de renseignements sur la politique étrangère ou l’actualité, en plus de fournir aux acteurs malveillants des informations potentielles sur la position d’un gouvernement ou son processus décisionnel concernant des questions politiques, des négociations commerciales, des contrats de défense ou des investissements économiques plus larges. »