Un groupe iranien a découvert l’espionnage de dissidents

Un groupe lié à l’Iran, nommé Chaton rampant par les chercheurs, a été découvert ciblant des organisations anti-régime dans une campagne qui est probablement en cours depuis 2014.

Les principales cibles sont les partisans des Moudjahiddines-e Khalq (MEK) et de l’Organisation de résistance nationale azerbaïdjanaise, deux mouvements de résistance de premier plan qui prônent la libération du peuple et des minorités iraniennes en Iran. Ces cibles, ainsi que les enregistrements WHOIS suggérant que des sites Web malveillants associés avaient été enregistrés par des individus iraniens et la découverte de l’adresse e-mail d’un déclarant liée à des forums de piratage iraniens, suffisent aux chercheurs de Check Point pour conclure que Rampant Kitten est un groupe iranien, ce qui implique en soi un lien avec le gouvernement iranien. Son objectif est de rechercher des renseignements sur les membres des groupes dissidents et leurs activités.

Les vecteurs d’attaque utilisés dans la campagne, qui est restée largement sous le radar pendant six ans, comprennent quatre variantes des infostealers Windows (vol de documents et informations de compte Telegram Desktop et KeePass); une porte dérobée Android utilisée pour voler les codes 2FA des messages SMS et prendre des enregistrements vocaux; et des pages de phishing Telegram distribuées à l’aide de faux comptes de service Telegram.

La campagne a d’abord été découverte par la découverte d’un document ciblant l’OMPI en Albanie. L’OMPI avait initialement son siège en Irak, mais à la suite de la montée des tensions politiques, elle s’est déplacée en Albanie. Le document malveillant utilise un modèle externe téléchargé à partir d’un serveur distant. Le modèle contient une macro qui exécute un script batch qui tente de télécharger la charge utile de l’étape suivante. La charge utile vérifie si Telegram est installé et, le cas échéant, extrait trois exécutables supplémentaires de ses ressources. Ce sont le chargeur, qui injecte la charge utile principale dans explorer.exe; une…

Voir la source de cette publication