Ces dernières semaines, nous avons vu un acteur persistant et relativement discret dans le cyberespace iranien, connu sous le nom d'Indy (également appelé Prince de Perse), changer sa façon d'opérer pour mieux couvrir ses traces tout en reconstituant son infrastructure de commandement et de contrôle. La frappe n'est pas seulement l'ajustement technique, mais la synchronisation avec la panne massive d'Internet imposée par le gouvernement iranien au début du mois, une coordination temporaire qui aide à comprendre la portée de l'État derrière ces opérations. Pour le mettre en contexte, les médias internationaux ont fait état de cette coupure généralisée de connectivité dans le pays, qui a affecté à la fois les citoyens et l'activité des acteurs locaux sur le réseau ( BBC).
Des chercheurs de l'entreprise SafeBreach ont documenté que pour la première fois, Indy a cessé de garder ses serveurs C2 le 8 janvier, date qui coïncide avec le début de la panne. Ce silence n'a pas été indéfini: le groupe a repris ses activités fin janvier, déployant de nouveaux domaines et serveurs un jour avant que les restrictions Internet en Iran ne soient levées. Ce modèle de temps fournit des preuves qui étayent l'hypothèse de soutien ou de coordination de l'État derrière ce groupe, quelque chose que les analystes de sécurité suivent depuis des années ( Rapport de sécurité).
Indy n'est pas une nouvelle menace : elle fonctionne depuis le début des années 2000 et s'est spécialisée dans les campagnes d'espionnage et d'exfiltration ciblant des personnes spécifiques plutôt que des opérations de masse. Son évolution technique au cours des derniers mois mérite l'attention : les outils appelés Foudre et Tonnerre ont reçu des mises à jour constantes, et la dernière - une variante appelée Tornado - intègre des mécanismes de communication hybrides qui combinent HTTP avec l'API Telegram pour recevoir des commandes et des données exfilter.
Une des nouvelles les plus sophistiquées est comment ils génèrent et résolvent les noms de domaine pour leurs serveurs de commande et de contrôle. Tornado utilise deux méthodes : un algorithme DGA (Domain Generation Algorithm) pour produire des noms dynamiques et, en outre, un mécanisme qui récupère les noms "fixés" à partir de données stockées dans une chaîne de blocs, une technique qui permet de changer l'infrastructure C2 sans changer le code de malware. Ce type de flexibilité complique le travail des défenses car il réduit la dépendance à l'égard des enregistrements de domaine traditionnels et augmente la résilience du réseau de l'agresseur ( Sécurité).
En parallèle, les opérateurs ont exploité une vulnérabilité quotidienne dans WinRAR pour distribuer un fichier RAR spécialement conçu qui, une fois exécuté sur la machine victime, découvre un fichier SFX contenant le noyau de porte arrière Tornado (entre autres composants). Cet installateur vérifie la présence de certains antivirus et, si vous ne détectez pas un antivirus spécifique, crée une tâche programmée pour atteindre la persistance et lance la DLL qui agit comme une porte arrière. L'utilisation de ce vecteur de livraison montre clairement l'intention d'augmenter les taux d'engagement en exploitant des logiciels largement installés dans des environnements de bureau.
Un élément curieux du puzzle est la dépendance de Telegram en tant que canal de contrôle. Dans les versions précédentes, Tonnerre et Tornado se sont appuyés sur un bot et un groupe privé pour envoyer et recevoir des instructions sans que le bot ait la permission de lire les conversations du groupe, suggérant une utilisation délibérée des limites de la plate-forme pour cacher la télémétrie. Les chercheurs ont réussi à extraire des messages de cette communauté privée et avec eux ils ont récupéré des fichiers et des commandes exfiltrés, ce qui a permis la reconstruction des chaînes d'attaque et l'attribution de certains fardeaux à l'acteur. Pour mieux comprendre comment les attaquants utilisent les robots Telegram à des fins criminelles, vous pouvez voir l'analyse de Forcepoint sur l'abus de cette plate-forme ( Point de force) ainsi que des travaux analytiques sur la façon dont les équipes d'intervention ont pu récupérer le contenu de ces canaux ( Checkmarx).
Parmi les artefacts détectés se trouve ZZ Stealer, un infostealer qui agit comme la première étape: il recueille des données de l'environnement, fait des captures d'écran et exfilter des fichiers de bureau, et dans un ordre spécifique téléchargements et exécute une deuxième étape plus puissante. Une partie du matériel et de l'infrastructure exfiltrés observés ont une relation technique avec des variantes connues de logiciels malveillants telles que StormKitty, dont le code et les variantes peuvent être examinés publiquement dans des dépôts d'analyse et des projets open source ( StormKitty à GitHub) et une relation a été observée avec les campagnes de dépôt de paquets (PyPI) qui ont utilisé des noms de paquets malveillants pour diffuser un installateur ZZ Stealer, une forme d'attaque de chaîne d'approvisionnement dirigée contre les développeurs et les systèmes automatisés.
En ce qui concerne l'attribution, des signes techniques indiquent des liens entre Info et d'autres opérations iraniennes, bien que certaines corrélations soient plus faibles que d'autres. Par exemple, l'utilisation de fichiers ZIP et d'accès via des accès directs Windows (LNK) et certaines routines PowerShell rappellent les tactiques observées chez des acteurs comme Charming Kitten, mais la convergence des outils ne constitue pas une identité unique : dans le cyberespace, les techniques sont reproduites et adaptées.
Quel enseignement les équipes défensives doivent-elles tirer? Premièrement, la nécessité de surveiller les canaux C2 non conventionnels en tant que services de messagerie offerts par les API publiques. Les défenses traditionnelles axées uniquement sur les blocs IP ou le filtrage de domaine sont insuffisantes lorsque l'adversaire mélange DGA, données blockchain et plateformes de messagerie. Deuxièmement, la protection contre les vecteurs de fichiers compressés demeure essentielle : maintenir le logiciel de décompression à jour et mettre en œuvre des politiques qui empêchent l'exécution automatique de SFX et d'autres exécutables contenus dans les fichiers téléchargés réduit les risques. Enfin, détecter des comportements anormaux - créer des tâches programmées, des charges DLL inhabituelles, du trafic HTTP vers des domaines nouvellement enregistrés, ou des communications vers l'API Telegram à partir de processus qui ne devraient pas - offre des signaux précoces précieux pour bloquer ces attaques.
Les rapports techniques et les ensembles de données partagés par des entreprises comme SafeBreach et les analyses complémentaires disponibles dans la collectivité sont des ressources essentielles pour comprendre la physiologie de ces campagnes et pour mettre à jour les règles et les détections. Pour ceux qui veulent participer à la recherche susmentionnée, lisez le rapport de SafeBreach sur Info ( Sécurité), l'analyse par Checkmark de l'extraction des données des canaux privés et des campagnes PyPI ( Checkmarx) et la documentation sur l'abus de robots dans Telegram par Forcepoint ( Point de force), en plus du matériel public sur les familles d'infostealers liés ( StormKitty).
Bref, l'évolution d'Indy rappelle que les groupes soutenus par l'État combinent la sophistication technique, la connaissance des plateformes publiques et la synchronisation politique pour maximiser l'impact et la persistance. La défense exige non seulement de la technologie, mais des renseignements à jour, une collaboration entre les équipes d'intervention et les politiques organisationnelles qui réduisent la surface des attaques contre ces tactiques de plus en plus petites et adaptatives.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...