Ces dernières semaines, les enquêteurs de la sécurité ont lancé une campagne d'espionnage numérique qui cible directement ceux qui documentent et cherchent des informations sur les abus en Iran depuis la fin de 2025. La société française HarfangLab a désigné cette opération comme RedKitten après avoir identifié une chaîne d'infection qui commence par un fichier compressé 7-Zip et se termine par un implant persistant capable de recevoir des instructions par Telegram. Vous pouvez lire l'analyse technique de HarfangLab ici: Il s'agit d'un projet de loi..
Le contexte n'est pas moins : la campagne coïncide avec une vague de protestations nationales qui ont éclaté à la fin de 2025 en raison de la hausse des prix et de la dépréciation de la monnaie, et qui, selon des organisations comme Amnesty International ils ont déclenché une forte répression, de nombreuses victimes et de vastes tribunaux Internet qui ont compliqué le flux d'information. Des reportages de presse ont également documenté l'impact très grave sur la vie quotidienne lors de ces blackouts numériques: voir par exemple la couverture de Flux nuageux sur les fermetures de connectivité et la difficulté de communiquer.
Le piège initial est apparemment simple et émotionnellement puissant : un fichier XLSM avec un nom farsi qui promet des listes de personnes disparues ou décédées dans les manifestations. Mais derrière l'apparence compatissante est une macro VBA malveillante qui, si l'utilisateur permet les macros, agit comme une goutte d'eau pour une bibliothèque C # qui est injectée dans le processus par une technique connue sous le nom d'injection AppDomainManager. Le fichier détecté par la communauté est archivé dans VirusTotal: 7-Zip record.
L'un des aspects les plus frappants du rapport est l'observation d'analystes sur la paternité du code VBA: style, noms de variables et certains commentaires suggèrent que le code aurait pu être généré à l'aide d'un modèle de langue. Cela correspond à une tendance croissante dans laquelle les acteurs malveillants utilisent des outils d'intelligence artificielle pour accélérer le phishing et la création de logiciels malveillants, ce qui complique à la fois l'attribution et la détection.
L'implant résultant a été appelé SloppyMIO et possède une architecture modulaire. Au lieu de s'appuyer sur sa propre infrastructure exposée, les opérateurs utilisent des services publics tels que GitHub et Google Drive pour masquer la manière dont ils récupèrent leur configuration : un dépôt public agit comme une résolution de « goutte morte » qui pointe vers les URL de Google Drive où il y a des images qui, téléchargées, contiennent la configuration cachée en utilisant des techniques stéganographiques. Cette configuration inclut le jeton d'un robot Telegram et l'identificateur de chat que les logiciels malveillants utilisent pour communiquer avec son opérateur.
Avec ce canal, SloppyMIO peut télécharger des modules supplémentaires et exécuter des commandes à distance. Ses capacités comprennent l'exécution de commandes à distance, la collecte et la compression de fichiers pour l'exfiltration dans les limites de l'API Telegram, le déploiement de binaires codés dans les images et l'établissement de la persistance par des tâches programmées. Bref, c'est un outil complet d'espionnage et d'exfiltration qui évite d'utiliser des serveurs traditionnels et rend donc difficile leur suivi, bien que l'utilisation de services partagés laisse des métadonnées qui peuvent également être utiles pour les défenseurs.
Les signes qui indiquent un lien avec les intérêts de l'État iranien ne se limitent pas au langage des dossiers : la question du leurre, les techniques utilisées et les parallèles tactiques avec les campagnes précédentes font que les chercheurs établissent un lien avec des groupes comme Téhéran. Ce n'est pas la première fois que les acteurs utilisent des plateformes légitimes comme GitHub pour laisser des « messages » ou des liens que les logiciels malveillants interprètent alors; des rapports précédents avaient déjà documenté des campagnes avec des tactiques similaires. L'utilisation de l'infrastructure de tiers pose également un dilemme : d'une part, il est difficile de bloquer la tradition, mais d'autre part, elle laisse des traces que les équipes de réponse peuvent utiliser pour tracer l'opération.
Cet épisode fait également partie d'un contexte plus vaste d'activité hostile dans la région : au cours des dernières semaines, le chercheur et activiste Nariman Gharib a publié des échantillons d'une campagne d'hameçonnage qui supplante WhatsApp pour voler des sessions QR et demande même des permissions de caméra et de microphone pour transformer le navigateur en un outil de surveillance. Votre rapport et vos artefacts sont accessibles au public à GitHub et sur place : github.com / narimangharib et blog.narimangharib.com.
L'enquête journalistique et technique sur ces attaques a également découvert un ensemble de victimes qui va au-delà des militants et des journalistes : des universitaires, des dirigeants communautaires, des entrepreneurs et des fonctionnaires ont été la cible de techniques conçues pour voler des justificatifs d'identité - y compris la falsification de pages de connexion qui demandent des mots de passe et des codes de vérification à deux facteurs -, comme TechCrunch l'a expliqué dans un récent rapport : techcrunch.com.
Les divulgations de groupes tels que Charming Kitten et les outils de surveillance interne ajoutent une autre source de préoccupation : les fuites antérieures ont montré des systèmes de suivi et des plates-formes de collecte de données associés à différents centres d'énergie en Iran, et ont également exposé des réseaux de formation et de recrutement avec des liens avec des institutions étatiques qui compliquent la séparation entre les activités civiles et les opérations de renseignement. Certains documents publiés par des chercheurs externes donnent des détails sur ces structures et entités qui ont été sanctionnées dans le passé, comme en témoigne l'information du Département du Trésor des États-Unis : Accueil.treasury.gov.
Alors que les enquêtes techniques sont cruciales, cette affaire met en évidence quelque chose de plus humain : les agresseurs exploitent les préoccupations légitimes des victimes, produisant des listes qui semblent être des preuves de vies perdues ou disparues pour provoquer des réactions impulsives. L'analyse des dossiers publiés par les chercheurs a révélé des incohérences dans les données (dates et âges contradictoires, par exemple), suggérant que les leurres étaient artificiellement construits pour attirer les clics.
Plus généralement, RedKitten est un signal d'avertissement sur la convergence entre les menaces traditionnelles et les nouveaux outils : la combinaison de leurres émotionnels, d'infrastructures publiques et éventuellement d'assistants de production de code accélère la capacité opérationnelle des acteurs hostiles. Pour les défenseurs et les utilisateurs, il s'agit d'un double défi : éduquer les communautés vulnérables sur les risques d'ouverture de pièces jointes non vérifiées, et en même temps améliorer les défenses techniques pour détecter les modèles de comportement malveillant qui ne sont pas seulement basés sur la présence d'un serveur C2 "classique".
Les pièces du puzzle - rapports techniques, analyses médico-légales et fuites précédentes - aujourd'hui ne donnent pas une réponse définitive à l'intérêt ultime derrière chaque opération, mais ils montrent une sophistication croissante dans la façon de mener des campagnes d'espionnage. Lorsque les récits utilisés pour tromper touchent de véritables blessures, la responsabilité des chercheurs, des médias et des plateformes est double : documenter et expliquer sans récidiver, et aider à concevoir des obstacles qui réduisent le succès de ceux qui profitent de la douleur des autres. Pour ceux qui cherchent à suivre de près la recherche, les rapports et les échantillons techniques partagés par HarfangLab et d'autres chercheurs constituent un bon point de départ: Il s'agit d'un projet de loi., le dossier de Nariman Gharib C'est pas vrai. et la couverture des moyens techniques tels que TechCrunch.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...