Setidaknya 16 bank, jasa keuangan, dan perusahaan telekomunikasi di Afrika telah diidentifikasi sebagai korban kelompok ancaman berbahasa Prancis OPERA1ER, yang telah mencuri setidaknya $11 juta sejak tahun 2018.
Laporan baru dari Group-IB menjelaskan bahwa mereka telah melacak aktivitas OPERA1ER sejak 2019; namun, mereka menunggu untuk mempublikasikan temuannya sampai kelompok tersebut muncul kembali setelah jeda pada tahun 2021. Kini geng tersebut kembali beraksi, jelas para analis, sehingga Grup-IB dapat mendokumentasikannya TTP OPERA1ER dari 2019 hingga 2021, serta yang terbaru iterasi pada tahun 2022.
Para peneliti melaporkan OPERA1ER telah berhasil menembus sistem target setidaknya 30 kali sejak tahun 2018. Sebagai contoh kecanggihan dan koordinasi kelompok tersebut, laporan tersebut menambahkan, salah satu serangan kelompok tersebut menggunakan lebih dari 400 akun mule untuk melakukan penipuan penarikan uang. .
Kelompok ini tidak menggunakan malware eksotik, faktanya, para peneliti mengatakan dalam laporannya bahwa ciri khas OPERA1ER adalah malware open source yang mudah diakses dan kerangka kerja tim merah sehari-hari seperti Metasploit dan Cobalt Strike. OPERA1ER mengirimkan Trojan akses jarak jauh (RAT) melalui umpan phishing email berbahasa Prancis dan meluangkan waktu untuk mengumpulkan informasi intelijen tentang korbannya sebelum โmencairkannya,โ tambah laporan itu.
โAnalisis terperinci terhadap serangan geng tersebut baru-baru ini mengungkapkan pola menarik dalam modus operandi mereka: OPERA1ER melakukan serangan terutama pada akhir pekan atau hari libur,โ Rustam Mirkasymov, kepala penelitian ancaman dunia maya di Group-IB Eropa, mengatakan dalam sebuah pernyataan. โIni berkorelasi dengan fakta bahwa mereka menghabiskan waktu tiga hingga 12 bulan sejak akses awal terhadap pencurian uang.โ
Mirkasymov menambahkan geng tersebut mungkin berbasis di Afrika dan jumlah total anggota kelompok OPERA1ER tidak diketahui.
