L’acteur de la menace liée à l’Iran, connu sous le nom d’UNC2428, a été observé en train de déployer une porte dérobée connue sous le nom de MURKYTOUR dans le cadre d’une campagne d’ingénierie sociale axée sur l’emploi et visant Israël en octobre 2024.

Mandiant, propriété de Google, a décrit UNC2428 comme un acteur malveillant lié à l’Iran, engagé dans des opérations de cyberespionnage. L’ensemble d’intrusion aurait propagé le logiciel malveillant via une « chaîne complexe de techniques de tromperie ».

« La campagne d’ingénierie sociale d’UNC2428 ciblait des individus tout en se faisant passer pour une opportunité de recrutement de l’entrepreneur de défense israélien Rafael », a déclaré la société dans son rapport annuel M-Trends pour 2025.

Les personnes qui ont manifesté leur intérêt ont été redirigées vers un site se faisant passer pour Rafael, d’où il leur a été demandé de télécharger un outil pour les aider à postuler à l’emploi.

L’outil (« RafaelConnect.exe ») était un installateur baptisé LONEFLEET qui, une fois lancé, présentait une interface utilisateur graphique (GUI) à la victime afin de saisir ses informations personnelles et de soumettre son CV.

Une fois soumise, la porte dérobée MURKYTOUR a été lancée en tant que processus d’arrière-plan au moyen d’un lanceur appelé LEAFPILE, accordant aux attaquants un accès persistant à la machine compromise.

« Les acteurs malveillants liés à l’Iran ont intégré des interfaces utilisateur graphiques (IUG) pour masquer l’exécution et l’installation de logiciels malveillants en applications ou logiciels légitimes », a déclaré Mandiant. « L’ajout d’une IUG présentant à l’utilisateur un programme d’installation classique et configurée pour imiter la forme et la fonction du leurre utilisé peut atténuer les soupçons des personnes ciblées. »

Il convient de mentionner que la campagne chevauche une activité que la Direction nationale israélienne de la cybersécurité a attribuée à un acteur de menace iranien nommé Black Shadow.

Considéré comme opérant pour le compte du ministère iranien du renseignement et de la sécurité (MOIS), le groupe de pirates informatiques est connu pour cibler un large éventail de secteurs industriels en Israël, notamment le monde universitaire, le tourisme, les communications, la finance, les transports, la santé, le gouvernement et la technologie.

Selon Mandiant, UNC2428 est l’un des nombreux groupes d’activités de menace iraniens qui ont ciblé Israël en 2024. Un groupe important est Cyber ​​Toufan , qui a ciblé les utilisateurs basés en Israël avec le wiper propriétaire POKYBLIGHT.

UNC3313 est un autre groupe malveillant lié à l’Iran qui a mené des opérations de surveillance et de collecte d’informations stratégiques via des campagnes de spear-phishing. UNC3313 , identifié pour la première fois par l’entreprise en février 2022, serait affilié à MuddyWater .

« L’acteur malveillant a hébergé des logiciels malveillants sur des services de partage de fichiers populaires et a intégré des liens dans des leurres de phishing axés sur des formations et des webinaires », a déclaré Mandiant. « Lors d’une de ces campagnes, UNC3313 a distribué le dropper JELLYBEAN et la porte dérobée CANDYBOX aux organisations et aux particuliers ciblés par ses opérations de phishing. »

Les attaques menées par UNC3313 se sont largement appuyées sur pas moins de neuf outils différents de surveillance et de gestion à distance (RMM) légitimes, une tactique emblématique du groupe MuddyWater, dans le but de contrer les efforts de détection et de fournir un accès à distance persistant.

La société de renseignement sur les menaces a également déclaré avoir observé en juillet 2024 un adversaire présumé lié à l’Iran distribuant une porte dérobée portant le nom de code CACTUSPAL en la faisant passer pour un installateur du logiciel d’accès à distance Palo Alto Networks GlobalProtect.

L’assistant d’installation, lors du lancement, déploie furtivement la porte dérobée .NET qui, à son tour, vérifie qu’une seule instance du processus est en cours d’exécution avant de communiquer avec un serveur de commande et de contrôle (C2) externe.

Malgré l’utilisation d’outils RMM, les acteurs de la menace iraniens comme UNC1549 ont également été observés en train de prendre des mesures pour intégrer l’infrastructure cloud dans leur métier afin de garantir que leurs actions s’intègrent aux services répandus dans les environnements d’entreprise.

« Outre les techniques telles que le typosquatting et la réutilisation de domaines, les acteurs malveillants ont découvert que l’hébergement de nœuds C2 ou de charges utiles sur une infrastructure cloud et l’utilisation de domaines cloud natifs réduisent la surveillance qui peut être appliquée à leurs opérations », a déclaré Mandiant.

Toute compréhension du paysage des menaces iraniennes serait incomplète sans APT42 (alias Charming Kitten), connu pour ses efforts élaborés d’ingénierie sociale et d’établissement de relations pour récolter des informations d’identification et fournir des logiciels malveillants sur mesure pour l’exfiltration de données.

L’acteur de la menace, selon Mandiant, a déployé de fausses pages de connexion se faisant passer pour Google, Microsoft et Yahoo! dans le cadre de ses campagnes de collecte d’informations d’identification, en utilisant Google Sites et Dropbox pour diriger les cibles vers de fausses pages de destination ou pages de connexion Google Meet.

Au total, la société de cybersécurité a déclaré avoir identifié plus de 20 familles de logiciels malveillants propriétaires – y compris des droppers, des téléchargeurs et des portes dérobées – utilisés par des acteurs iraniens dans des campagnes au Moyen-Orient en 2024. Deux des portes dérobées identifiées, DODGYLAFFA et SPAREPRIZE, ont été utilisées par APT34 (alias OilRig) dans des attaques ciblant des entités gouvernementales irakiennes.

« Alors que les acteurs de la menace liée à l’Iran continuent de mener des cyberopérations qui correspondent aux intérêts du régime iranien, ils modifieront leurs méthodologies pour s’adapter au paysage sécuritaire actuel », a déclaré Mandiant.