Ít nhất 16 ngân hàng, dịch vụ tài chính và công ty viễn thông châu Phi đã được xác định là nạn nhân của nhóm đe dọa nói tiếng Pháp OPERA1ER, nhóm này đã đánh cắp ít nhất 11 triệu USD kể từ năm 2018.
Một báo cáo mới từ Group-IB giải thích rằng họ đã theo dõi các hoạt động của OPERA1ER kể từ năm 2019; tuy nhiên, họ đợi công bố những phát hiện của mình cho đến khi nhóm xuất hiện trở lại sau thời gian tạm nghỉ vào năm 2021. Các nhà phân tích giải thích rằng bây giờ băng nhóm này đã hoạt động trở lại, cho phép Group-IB ghi lại hoạt động của họ. OPERA1ER TTP từ 2019 đến 2021, cũng như mới nhất lặp lại vào năm 2022.
Các nhà nghiên cứu báo cáo rằng OPERA1ER đã xâm nhập thành công hệ thống của mục tiêu ít nhất 30 lần kể từ năm 2018. Báo cáo cho biết thêm, một ví dụ về sự tinh vi và phối hợp của nhóm, một trong những cuộc tấn công của nhóm đã sử dụng hơn 400 tài khoản la để thực hiện các hoạt động rút tiền gian lận. .
Trên thực tế, nhóm này không sử dụng phần mềm độc hại lạ, các nhà nghiên cứu cho biết trong báo cáo rằng dấu hiệu của OPERA1ER là phần mềm độc hại nguồn mở có thể truy cập dễ dàng và các khuôn khổ hàng ngày của nhóm đỏ như Metasploit và Cobalt Strike. Báo cáo cho biết thêm, OPERA1ER cung cấp các Trojan truy cập từ xa (RAT) thông qua các mồi nhử lừa đảo qua email bằng tiếng Pháp và mất thời gian thu thập thông tin tình báo về nạn nhân trước khi “rút tiền”.
Rustam Mirkasymov, người đứng đầu nghiên cứu mối đe dọa mạng tại Group-IB Europe, cho biết trong một tuyên bố: “Phân tích chi tiết về các cuộc tấn công gần đây của băng nhóm này đã tiết lộ một mô hình thú vị trong phương thức hoạt động của chúng: OPERA1ER tiến hành các cuộc tấn công chủ yếu vào cuối tuần hoặc ngày lễ”. “Nó tương quan với thực tế là họ mất từ ba đến 12 tháng kể từ lần đầu tiếp cận hành vi trộm tiền.”
Mirkasymov cho biết thêm, băng nhóm này có thể có trụ sở bên ngoài Châu Phi và tổng số thành viên nhóm OPERA1ER vẫn chưa được biết.
