Les chercheurs en cybersécurité ont identifié une campagne ciblée qui profite de l'indignation et recherche des informations sur les manifestations en Iran pour distribuer des logiciels malveillants. La firme Acoris a décrit cette opération sous le nom de CRESCENTHARVEST, et l'a détectée à partir du 9 janvier ; selon leur analyse, les attaquants avaient l'intention d'installer un cheval de Troie à distance (RAT) et un composant dédié au vol d'informations avec des capacités pour exécuter des commandes à distance, enregistrer des pulsations et extraire des données sensibles.
Le leurre utilisé par les opérateurs est conçu pour convaincre les orateurs farsi: un fichier RAR est emballé qui semble contenir des photos et des vidéos des manifestations, accompagné d'un rapport persan qui propose des mises à jour de «villes rebelles». Ce fichier inclut l'accès direct à Windows avec double extension - par exemple "imagen.jpg.lnk" ou "video.mp4.lnk" - un trick classique pour le système de montrer ce qui semble être un fichier multimédia mais exécute en fait le code. Lorsque vous ouvrez l'un de ces raccourcis, vous exécutez un script PowerShell qui télécharge un deuxième fichier compressé et, afin de ne pas soulever de soupçon, ouvre simultanément une image ou une vidéo légitime comme un leurre.
Le ZIP secondaire contient une combinaison inquiétante: un binaire signé Google qui fait partie de l'utilitaire de nettoyage Chrome et plusieurs librairies DLL. Profitant du mécanisme de recherche de la librairie Windows, les attaquants causent l'exécutable légitime pour charger la DLL malveillante, une technique connue sous le nom de "DLL sideloading." Une de ces librairies agit comme un composant C + + qui dessine les clés de chiffrement associées aux applications Chrome, tandis qu'une autre - identifié par les chercheurs comme l'implémentation CRESCENTHARVEST - implémente les fonctions d'espionnage et de télécommande.
Les capacités observées de cet implant comprennent la liste des solutions de sécurité installées, la liste des comptes locaux, le chargement de modules supplémentaires, la collecte de métadonnées système, l'extraction d'identifications de navigateur, l'exfiltration des données de session de Telegram dans sa version de bureau et un enregistreur de frappe. Pour communiquer avec vos serveurs de commande et de contrôle, CRESCENTHARVEST utilise l'API WinHTTP de Windows et pointe vers un domaine qui, selon Acronis, sert à mélanger votre trafic avec une communication légitime.
Le modèle d'attaque n'est pas nouveau mais efficace : exploiter les événements actuels pour attirer les victimes, utiliser l'accès direct trompeur comme vecteur initial et abuser des binaires légitimes signés pour éviter les contrôles de sécurité. Acronis souligne que, bien qu'ils n'aient pas attribué de façon concluante l'opération, la campagne coïncide avec des tactiques historiques de groupes alignés avec l'Iran qui ont eu recours à l'ingénierie sociale à long terme et à de fausses identités pour gagner la confiance dans les objectifs - une pratique documentée par les agences et les centres de cybersécurité dans le cadre de l'activité de menaces persistantes. Pour contextualiser l'utilisation de ce type de manœuvres, le guide de l'Agence canadienne de cybersécurité sur les campagnes de manipulation dirigées et de pêche rapide est disponible. émis par le gouvernement du Canada.
Cette constatation intervient peu de temps après d'autres analyses qui ont également documenté des tentatives visant à engager des militants, des journalistes et des organisations non gouvernementales en rapport avec le signalement d'abus en Iran. Les sociétés de sécurité extérieures ont signalé des campagnes ayant des objectifs et des méthodes similaires, indiquant que les mouvements sociaux et journalistiques autour d'un véritable conflit deviennent un terrain fertile pour des opérations ciblées de cyberespionnage.
D'un point de vue technique, la campagne utilise des vecteurs bien connus mais dangereux dans sa combinaison: l'utilisation de l'accès direct (LNK) pour tromper l'utilisateur; la décharge silencieuse d'autres dispositifs par PowerShell; l'utilisation d'un binaire signé par un fournisseur légitime pour charger des librairies malveillantes; et enfin un composant qui tire des identifiants et des données d'applications communes. Microsoft offre une documentation sur la façon dont Windows résout la charge de librairies dynamiques et pourquoi le chargement latéral peut être exploité dans ces scénarios, informations utiles pour les gestionnaires informatiques et les équipements de sécurité dans la documentation officielle de Microsoft.
Pour les gens et les collectifs qui couvrent ou suivent les événements en Iran, le risque est double : d'une part, la motivation à ouvrir rapidement des documents qui semblent pertinents est élevée; d'autre part, les fichiers apparemment innocents peuvent cacher des outils de persistance et d'exfiltration. Outils de navigateur légitimes, tels que l'utilitaire de nettoyage Chrome dont la signature a été utilisée dans cette campagne, peut être utilisé dans le processus de chargement de code malveillant; Google explique la fonction de ce composant sur sa page de support sur l'outil de nettoyage de Chrome.
Que peuvent faire ceux qui se considèrent en danger? En plus de maintenir des systèmes et logiciels à jour, il convient d'éviter d'ouvrir des fichiers compressés ou des liens d'origine douteuse, méfiant les raccourcis qui montrent une double extension et ne permettant pas l'exécution de scripts sans vérifier l'origine. Au niveau de l'organisation, surveiller le trafic sortant, surveiller l'exécution de binaires inconnus et appliquer des politiques qui limitent la charge de DLL à partir de lieux peu fiables aident à réduire la surface de l'attaque. Pour des recommandations pratiques sur la façon de détecter et d'atténuer le phishing et les campagnes de phishing Agence américaine pour l'infrastructure et la cybersécurité. (CISA/US-CERT) maintient des matériaux utiles et accessibles.
L'apparition du CRESCENTHARVEST reflète une tendance inquiétante : lorsqu'il y a conflit et mouvement social, les acteurs sont prêts à exploiter l'attention et la solidarité au profit des opérations d'espionnage. Maintenir la garde, vérifier les sources et adopter des pratiques d'hygiène numérique est non seulement une recommandation technique, mais une mesure de sécurité personnelle et collective pour ceux qui signalent, documentent ou participent à la couverture de ces événements.
Pour lire l'analyse technique détaillée de cette campagne, Acronis a publié un rapport décrivant le flux d'infection et les échantillons observés. sur sa recherche sur les menaces Blog de l'unité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...