Le groupe de hackers APT42 parrainé par l'État iranien cible le gouvernement, les ONG et les organisations intergouvernementales pour récolter des informations d'identification

Dans le domaine de la cybersécurité, la vigilance est primordiale. De récentes révélations de Mandiant de Google Cloud ont mis en lumière les activités néfastes d'APT42, un groupe de cyberespionnage parrainé par l'État et censé opérer pour le compte du Corps des Gardiens de la révolution islamique (CGRI) en Iran. Avec une histoire remontant au moins à 2015, l’APT42 est devenue une menace importante, ciblant un large éventail d’entités, notamment des ONG, des institutions gouvernementales et des organisations intergouvernementales.

Opérant sous divers alias tels que Calanque et UNC788, le mode opératoire d'APT42 est aussi sophistiqué qu'inquiétant. Utilisant des tactiques d'ingénierie sociale, le groupe se fait passer pour des journalistes et des organisateurs d'événements pour infiltrer les réseaux de ses cibles. En tirant parti de ces stratégies trompeuses, APT42 gagne la confiance de victimes sans méfiance, leur permettant de récolter de précieuses informations d'identification pour un accès non autorisé.

L'une des caractéristiques de l'approche d'APT42 est l'utilisation de plusieurs portes dérobées pour faciliter ses activités malveillantes. Le rapport de Mandiant met en évidence le déploiement de deux nouvelles portes dérobées lors des récentes attaques. Ces outils clandestins permettent à APT42 d'infiltrer les environnements cloud, d'exfiltrer des données sensibles et d'échapper à la détection en exploitant des outils open source et des fonctionnalités intégrées.

L'analyse de Mandiant révèle en outre l'infrastructure complexe utilisée par APT42 dans ses opérations. Le groupe orchestre de vastes campagnes de collecte de titres de compétences, catégorisant ses cibles en trois groupes distincts. Qu'il s'agisse de se faire passer pour des organisations médiatiques ou d'usurper l'identité de services légitimes, APT42 emploie diverses tactiques pour inciter ses victimes à divulguer leurs identifiants de connexion.

De plus, les activités d'APT42 s'étendent au-delà du cyberespionnage traditionnel. Le groupe a démontré une volonté d' adapter sa tactique , comme en témoigne son déploiement de portes dérobées personnalisées telles que Nicecurl et Tamecat. Ces outils, écrits respectivement en VBScript et PowerShell, permettent à APT42 d'exécuter des commandes arbitraires et d'extraire des informations sensibles des systèmes compromis.

Malgré les tensions géopolitiques et les conflits régionaux, l’APT42 reste fidèle à sa quête de collecte de renseignements. Les conclusions de Mandiant soulignent la résilience et la persistance du groupe, qui continue de cibler des entités associées à des questions géopolitiques sensibles aux États-Unis, en Israël et au-delà. En outre, le chevauchement entre les activités d'APT42 et celles d'autres groupes de piratage iraniens, tels que Charming Kitten, met en évidence la nature coordonnée et multiforme des cyber-opérations iraniennes.

Face à de telles menaces, des mesures proactives de cybersécurité sont impératives. Les organisations doivent rester vigilantes, utiliser des protocoles de sécurité robustes et se tenir au courant des derniers développements en matière de cyberdéfense. En améliorant la collaboration et le partage d’informations, la communauté mondiale peut mieux faire face à l’évolution des menaces posées par des groupes comme APT42.

En fin de compte, les révélations fournies par Mandiant rappellent la nature persistante et omniprésente des cybermenaces. À mesure que la technologie continue de progresser, nos défenses doivent également évoluer. Ce n’est que par une action collective et une diligence sans faille que nous pouvons espérer atténuer les risques posés par les groupes de cyberespionnage parrainés par l’État comme APT42.