L’opération GhostShell serait liée à un acteur de la menace iranien

Les chercheurs ont découvert un acteur de menace avancé jusqu’alors inconnu, probablement d’origine iranienne, utilisant un RAT auparavant non documenté ciblant en grande partie des organisations aérospatiales et de télécommunications. Ils ont nommé le groupe MalKamak, et la campagne Opération GhostShell.

Cybereason a d’abord détecté l’acteur menaçant engagé dans le cyberespionnage avec le cheval de Troie d’accès à distance inconnu – qu’il a appelé ShellClient – en juillet 2021. Une première enquête a révélé que le même groupe ciblait des entreprises de l’aérospatiale et des télécommunications au Moyen-Orient. Une enquête plus approfondie a révélé que le groupe ciblait également les mêmes secteurs aux États-Unis, en Russie et en Europe.

Dans un rapport d’analyse de son enquête, Cybereason a déterminé que MalKamak fonctionnait sans être découvert depuis au moins 2018. Au cours de cette période, le ShellClient RAT est passé d’un simple shell inversé autonome à un outil d’espionnage modulaire furtif.

Le groupe MalKamak serait d’origine iranienne. Bien que les chercheurs n’aient rien trouvé pour associer le groupe à un APT connu, ils ont découvert des liens avec l’acteur menaçant iranien Chafer (également connu sous le nom d’APT39, ITG07 et Remix Kitten). Ils ont également remarqué des similitudes dans le style de codage et les conventions de dénomination avec un autre groupe iranien, Agrius, principalement connu pour avoir attaqué des organisations et des entreprises israéliennes.

[[Lire aussi: Qu’y a-t-il dans le nom d’un groupe de menaces ? Un regard intérieur sur les subtilités de l’attribution de l’État-nation ]

Assaf Dahan, responsable de la recherche sur les menaces chez Cybereason, a suggéré qu’un ancien membre de Chafer ou Agrius pourrait désormais être impliqué dans MalKamak, ou peut-être que les trois groupes ont employé le même « indépendant » à un moment donné. Cependant, il a dit Semaine de la sécurité qu’aucune conclusion ne pouvait être tirée de l’absence de la Chine dans la liste des cibles.

« Nous avons détecté…