Un acteur de la menace a infecté son propre ordinateur avec un voleur d'informations, ce qui a permis de découvrir sa véritable identité.

Utilisant le pseudonyme en ligne "La_Citrix", l'acteur de la menace a été actif sur des forums de cybercriminalité en langue russe depuis 2020.

La_Citrix a été observé en train de pirater des organisations et de compromettre des serveurs Citrix, VPN et RDP pour leur vendre un accès illicite.

Le pirate a eu l'imprudence d'infecter son propre ordinateur avec un voleur d'informations et de vendre l'accès à la machine sans s'en apercevoir.

L'ordinateur contenait les informations d'identification des employés de près de 300 organisations, et le navigateur stockait les informations d'identification des entreprises utilisées pour effectuer des piratages.

La_Citrix utilisait des voleurs d'informations pour exfiltrer les informations d'identification de l'entreprise, qui étaient ensuite utilisées pour accéder aux réseaux des organisations sans autorisation.

Une analyse plus poussée de l'ordinateur de l'acteur de la menace a également permis à l'entreprise de cybersécurité de découvrir sa véritable identité et sa localisation.

La société de renseignement sur les menaces, qui indique avoir connaissance de milliers de pirates ayant accidentellement infecté leurs propres ordinateurs avec des logiciels malveillants, déclare qu'elle transmettra les preuves découvertes aux autorités compétentes chargées de l'application de la loi.