Devis de remise multi-licences
Données concernant les menaces Portes dérobées Porte dérobée SloppyMIO

Porte dérobée SloppyMIO

Par Mezo en Portes dérobées, Menace persistante avancée (APT)
Se traduisent par :

Un acteur malveillant parlant le farsi et considéré comme proche des intérêts de l'État iranien est soupçonné d'orchestrer une nouvelle campagne de cyberespionnage visant des organisations non gouvernementales et des individus documentant les récentes violations des droits humains. Des chercheurs en sécurité ont identifié cette activité en janvier 2026 et l'ont baptisée RedKitten.

Contexte politique et stratégie de ciblage

Cette campagne coïncide étroitement avec les troubles sociaux qui ont secoué l'Iran fin 2025, alimentés par une forte inflation, la flambée des prix alimentaires et une dévaluation monétaire importante. La répression gouvernementale qui a suivi aurait fait de nombreuses victimes et provoqué des coupures d'internet prolongées. L'opération semble exploiter ce contexte en s'attaquant aux personnes recherchant des informations sur les manifestants disparus ou décédés, en jouant sur la détresse émotionnelle pour susciter un sentiment d'urgence et réduire le scepticisme.

Vecteur d’infection initial et développement piloté par LLM

La chaîne d'intrusion débute par une archive 7-Zip dont le nom de fichier est en farsi. Elle contient des feuilles de calcul Microsoft Excel renfermant des macros malveillantes. Ces fichiers XLSM prétendent lister les manifestants tués à Téhéran entre le 22 décembre 2025 et le 20 janvier 2026 ; cependant, des incohérences, telles que des âges et des dates de naissance discordants, indiquent que les données sont falsifiées. Lorsque les macros sont activées, un programme d'installation basé sur VBA déploie un implant C# nommé « AppVStreamingUX_Multi_User.dll » via une injection AppDomainManager.

L'analyse du code suggère que de grands modèles de langage ont probablement été utilisés lors du développement, compte tenu de la structure de la macro, des conventions de nommage et des commentaires intégrés ressemblant à des invites automatisées ou didactiques.

Architecture et capacités de la porte dérobée SloppyMIO

La porte dérobée implantée, identifiée sous le nom de SloppyMIO, exploite largement des plateformes cloud et collaboratives légitimes. GitHub sert de point de dépôt mort pour obtenir des URL Google Drive hébergeant des images qui dissimulent des données de configuration par stéganographie. Les paramètres extraits comprennent les identifiants de bots Telegram, les identifiants de conversation et des liens vers des charges utiles supplémentaires.

SloppyMIO prend en charge plusieurs modules fonctionnels permettant l'exécution de commandes, la collecte et l'exfiltration de fichiers, le déploiement de charges utiles, la persistance via des tâches planifiées et l'exécution de processus. Le logiciel malveillant peut télécharger, mettre en cache et exécuter ces modules à la demande, offrant ainsi aux opérateurs un contrôle étendu sur les systèmes compromis.

Les modules fonctionnels pris en charge incluent :

  • Exécution de commandes via l'interpréteur de commandes Windows
  • Collecte de fichiers et exfiltration au format ZIP limitées aux limites de l'API Telegram
  • Écriture de fichiers dans un répertoire de données d'application local à l'aide de charges utiles encodées en image
  • Création d'une tâche planifiée pour une exécution récurrente
  • Déclenchement arbitraire d'une procédure
  • Commande et contrôle via Telegram

Outre la livraison modulaire de la charge utile, SloppyMIO maintient une communication continue avec ses opérateurs via l'API Telegram Bot. L'implant signale l'état du système, interroge Telegram pour obtenir des instructions et transmet les données collectées par le biais de conversations Telegram, tout en permettant l'exécution directe de tâches depuis une interface de commande et de contrôle distincte.

Les commandes de l'opérateur observées comprennent :

  • Déclenchement de la collecte et de l'exfiltration de fichiers
  • Exécution de commandes shell arbitraires
  • Lancement d'applications ou de processus spécifiques

Attribution et parallèles historiques

L'attribution à des acteurs liés à l'Iran repose sur plusieurs indicateurs : des éléments en persan, des thèmes d'appât liés aux troubles intérieurs et des similitudes tactiques avec des campagnes antérieures. On note notamment des similitudes avec des opérations attribuées à Tortoiseshell, qui avait précédemment exploité des fichiers Excel malveillants et l'injection dans AppDomainManager, ainsi qu'avec une campagne de 2022 liée à un sous-groupe de Nemesis Kitten ayant utilisé GitHub pour diffuser la porte dérobée Drokbk. Le recours croissant à des outils d'intelligence artificielle complexifie davantage la différenciation des acteurs et la fiabilité de leur attribution.

Opérations de phishing parallèles et impact plus large

Par ailleurs, les enquêteurs ont révélé une campagne d'hameçonnage menée via WhatsApp, utilisant une interface WhatsApp Web falsifiée hébergée sur un domaine DuckDNS. La page interroge en permanence un terminal contrôlé par l'attaquant afin d'afficher un code QR dynamique lié à sa propre session WhatsApp Web. Les victimes qui scannent ce code authentifient l'attaquant à leur insu, lui accordant ainsi un accès complet à son compte. L'infrastructure d'hameçonnage sollicite également les autorisations du navigateur pour accéder à la caméra, au microphone et à la géolocalisation, permettant ainsi une surveillance en temps réel.

D'autres éléments indiquent une activité connexe visant à collecter les identifiants Gmail, notamment les mots de passe et les codes d'authentification à deux facteurs, via des pages de connexion contrefaites. Une cinquantaine de personnes ont été touchées, parmi lesquelles des membres de la communauté kurde, des universitaires, des fonctionnaires, des chefs d'entreprise et d'autres personnalités. Les auteurs de ces attaques par hameçonnage et leurs motivations exactes restent inconnus.

Techniques opérationnelles et implications défensives

L'utilisation massive de plateformes standardisées telles que GitHub, Google Drive et Telegram entrave le suivi traditionnel basé sur l'infrastructure, tout en introduisant des métadonnées exploitables et des risques de sécurité opérationnelle pour les attaquants. Conjuguée à l'adoption croissante de l'IA par les acteurs malveillants, cette situation souligne la nécessité pour les équipes de défense de privilégier l'analyse comportementale, la validation du contenu et la sensibilisation des utilisateurs plutôt que de se fier uniquement aux indicateurs d'infrastructure.

Tendance

Arnaque par e-mail : notification de défaillance de...

Hameçonnage, Courrier indésirable
Il est essentiel de rester vigilant face aux courriels inattendus. Les cybercriminels exploitent fréquemment la confiance et l'urgence pour inciter les destinataires à prendre des décisions dangereuses. Les messages frauduleux sont souvent soigneusement conçus pour paraître légitimes, même s'ils ne sont associés à aucune entreprise, organisation ou prestataire de services réel....

Le plus regardé

Chargement...