Porte dérobée TMECAT
Une vague d'activités d'espionnage liées au groupe APT42, proche de l'État iranien, a été détectée. Les analystes observent une campagne ciblée contre des individus et des organisations proches du Corps des gardiens de la révolution islamique (CGRI). Découverte début septembre 2025 et baptisée SpearSpecter, cette opération combine avec brio ingénierie sociale et déploiement de logiciels malveillants sur mesure à des fins de collecte de renseignements.
Table des matières
Une stratégie de ciblage élargie
Les responsables de cette campagne ont ciblé directement de hauts fonctionnaires du gouvernement et de la défense, utilisant des approches très personnalisées pour les amener à collaborer. Les invitations à des conférences importantes et les propositions de rencontres influentes sont des appâts courants. Une caractéristique déterminante de cette activité est l'élargissement du nombre de victimes aux membres de leur famille, ce qui accroît la pression et étend la zone d'attaque autour des cibles principales.
Origines et évolution d’APT42
Le groupe APT42 a été révélé au public fin 2022, peu après que des chercheurs l'eurent lié à plusieurs groupes associés au Corps des gardiens de la révolution islamique (CGRI). Parmi ces groupes figurent des clusters notoires tels que APT35, Charming Kitten, ITG18, Mint Sandstorm et TA453. Sa principale caractéristique opérationnelle est sa capacité à mener des opérations d'ingénierie sociale de longue durée, parfois plusieurs semaines, en usurpant l'identité de contacts de confiance afin de gagner en crédibilité avant de diffuser des logiciels malveillants ou des liens malveillants.
Début juin 2025, des spécialistes ont mis au jour une autre campagne d'envergure visant des professionnels israéliens de la cybersécurité et des technologies. Dans ce cas précis, les attaquants se faisaient passer pour des cadres et des chercheurs dans leurs communications par courriel et WhatsApp. Bien que liées, les activités de juin et celles de SpearSpecter proviennent de deux groupes internes distincts d'APT42 : le groupe B se concentrait sur le vol d'identifiants, tandis que le groupe D était spécialisé dans les intrusions par logiciels malveillants.
Tactiques de tromperie personnalisées
Au cœur de SpearSpecter se trouve une méthodologie d'attaque flexible, adaptée à la valeur de la cible et aux objectifs des opérateurs. Certaines victimes sont redirigées vers de faux portails de réunion conçus pour dérober leurs identifiants. D'autres sont confrontées à une approche plus intrusive, consistant à déployer une porte dérobée PowerShell persistante nommée TAMECAT, un outil fréquemment utilisé par le groupe ces dernières années.
Les attaques courantes débutent par une usurpation d'identité sur WhatsApp : l'attaquant transmet un lien malveillant se faisant passer pour un document requis pour une réunion à venir. Cliquer sur ce lien déclenche une redirection vers un fichier LNK hébergé sur WebDAV, déguisé en PDF, exploitant le gestionnaire de protocole search-ms pour tromper la victime.
La porte dérobée TMECAT : modulaire, persistante et adaptative
Une fois exécuté, le fichier LNK se connecte à un sous-domaine Cloudflare Workers géré par un attaquant afin de récupérer un script batch qui active TAMECAT. Ce framework PowerShell utilise des composants modulaires pour l'exfiltration de données, la surveillance et la gestion à distance. Ses canaux de commande et de contrôle (C2) s'étendent à HTTPS, Discord et Telegram, garantissant ainsi la continuité de service même en cas de blocage d'un canal.
Pour les opérations via Telegram, TAMECAT récupère et exécute du code PowerShell relayé par un bot contrôlé par les attaquants. Le serveur de commande et de contrôle (C2) basé sur Discord utilise un webhook qui envoie des informations système et reçoit des commandes d'un canal prédéfini. L'analyse suggère que les commandes peuvent être personnalisées pour chaque hôte infecté, permettant ainsi une action coordonnée contre plusieurs cibles via une infrastructure partagée.
Capacités soutenant l’espionnage en profondeur
TMECAT offre une vaste gamme de fonctionnalités de collecte de renseignements. Parmi celles-ci :
- Collecte et extraction des données
- Récupération des fichiers avec des extensions spécifiées
- Extraction de données à partir des boîtes mail Google Chrome, Microsoft Edge et Outlook
- Capture d'écran continue toutes les 15 secondes
- Exfiltration des informations collectées via HTTPS ou FTP
- Mesures de furtivité et d'évasion
- Chiffrement des données de télémétrie et des charges utiles
- Obfuscation du code source PowerShell
- Utilisation de binaires « vivant sur le réseau » pour fusionner des actions malveillantes avec le comportement normal du système.
- Exécution principalement en mémoire pour minimiser les artefacts de disque
Une infrastructure résiliente et camouflée
L'infrastructure de SpearSpecter combine des systèmes contrôlés par l'attaquant avec des services cloud légitimes afin de dissimuler les activités malveillantes. Cette approche hybride permet une compromission initiale transparente, des communications C2 robustes et une extraction de données furtive. La conception opérationnelle reflète la volonté d'un acteur malveillant d'infiltrer durablement des réseaux critiques tout en minimisant son exposition.
Conclusion
La campagne SpearSpecter souligne le perfectionnement constant des opérations d'espionnage du groupe APT42, qui combine ingénierie sociale de longue haleine, logiciels malveillants adaptatifs et infrastructure robuste pour atteindre ses objectifs de renseignement. Son caractère persistant et très ciblé expose les responsables, le personnel de défense et les personnes affiliées à des risques permanents, renforçant ainsi la nécessité d'une vigilance accrue et de mesures de sécurité rigoureuses sur tous les canaux de communication.
