Nazar APT

Le groupe de piratage Nazar est un APT (Advanced Persistent Threat) récemment découvert. Les chercheurs en logiciels malveillants pensent que ce groupe de piratage pourrait faire partie du tristement célèbre APT37. Ce dernier est un groupe de piratage basé en Chine, également connu sous le pseudonyme d'Emissary Panda. En 2017, il y a eu une fuite du groupe de piratage Shadow Brokers, qui comprenait des détails intéressants sur l'activité et l'arsenal de piratage de l'APT Nazar.

Selon la fuite de Shadow Brokers, le groupe de piratage Nazar est probablement actif depuis une décennie maintenant – depuis 2010. La plupart des cibles de l'APT Nazar semblent être situées en Iran. Au cours des dix années d'activité de Nazar APT, le groupe de piratage a mis à jour son arsenal d'outils et a souvent changé régulièrement de cible. Parmi leurs outils de piratage les plus récents figure le cheval de Troie de porte dérobée EYService, qui est une menace qui fonctionne de manière très silencieuse et peut éviter d'être détectée sur de longues périodes. Le cheval de Troie EYService a été utilisé dans les campagnes Nazar APT ciblant les victimes iraniennes. Cette menace est capable de collecter des informations, d'effectuer des opérations de reconnaissance complexes et d'implanter des logiciels malveillants supplémentaires sur l'hôte infecté. Pour éviter la détection de certaines solutions anti-malware, la charge utile du malware EYService a été masquée à l'aide d'utilitaires légitimes, ainsi que d'outils de piratage accessibles au public. C'est une astuce que de nombreux cyber-escrocs utilisent dans le monde entier.

Malgré le fait que le groupe de piratage Nazar soit actif depuis plus d'une décennie, il n'y a pas beaucoup d'informations disponibles sur leurs campagnes et leurs cibles. Il semblerait que cet APT préfère rester à l'écart des feux de la rampe et enchaîne avec précaution. Il est probable que les chercheurs en logiciels malveillants pourront en savoir plus sur ces cyber-escrocs et leurs motivations à l'avenir.