JAKARTA - Un nouveau campagne de cyberespionnage associée aux intérêts de l’Iran a été révélée visant des organisations non gouvernementales (ONG) de défense des droits de l’homme, ainsi que des activistes et des individus qui documentent les allégations de violations des droits de l’homme en Iran. Cette campagne s’appelle RedKitten.
Cette activité a été detéctée par la société de cybersaférité HarfangLab en janvier 2026. La campagne RedKitten est censée cóincider avec une vague de troubles nationaux en Iran qui a été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été été e
« Ce malware s’appuie sur GitHub et Google Drive pour la configuration et l’extraction de charges utiles modulaires, et utilise Telegram comme moyen de commande et de contrôle », a déclaré HarfangLab dans son rapport.
Ce qui rend cette campagne remarquable, c'est la forte présomption que l'auteur de la menace utilise des modèles de langage larges (LLM) ou des modèles de langage basés sur l'intelligence artificielle pour construire et orchestrer l'ensemble de ses outils d'attaque. L'attaque commence par un fichier 7-Zip nommé Farsi contenant des documents Microsoft Excel au format XLSM et a été infiltré par une macro dangereuse.
Le tableau de bord prétend contenir des données sur les manifestants tués à Téhéran entre le 22 décembre 2025 et le 20 janvier 2026. Cependant, il contient une macro VBA dangereuse qui, lorsqu'elle est activée, fonctionne comme un dropper pour un implant basé sur C# nommé AppVStreamingUX_Multi_User.dll, en utilisant la technique d'injection AppDomainManager.
HarfangLab estime que le macro VBA a probablement été produit par LLM. Les indices sont visibles dans le « style global du code VBA, les noms des variables et des méthodes utilisées », ainsi que des commentaires structurés tels que « PART 5: Raportez le résultat et planifiez-le si vous réussissez ».
L’attaque a visé spécifiquement les personnes qui cherchaient des informations sur des personnes disparues, en exploitant la pression émotionnelle des victimes pour créer un sentiment d’urgence faux et déclencher une chaîne d’infection. L’analyse des données dans les feuilles de calcul, y compris les incohérences entre l’âge et la date de naissance, montre que les données ont probablement été fabriquées.
La porte arrière utilisée dans cette campagne s'appelle SloppyMIO. Le malware utilise GitHub comme résolveur de drop mort pour obtenir des URL de Google Drive qui stockent des images contenant des configurations cachées par stéganographie. Les informations comprennent les jetons de bots Telegram, les ID de chat Telegram, ainsi que des liens vers divers modules supplémentaires.
Il existe au moins cinq modules pris en charge, à savoir cm pour exécuter des commandes via cmd.exe, do pour collecter des fichiers du système victime et les archiver dans un format ZIP en fonction de la taille limite de l'API Telegram, up pour écrire des fichiers dans le répertoire %LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\ avec des données chiffrées dans l'image, pr pour créer des tâches planifiées afin de maintenir la persistance en exécutant l'exécutable toutes les deux heures, et ra pour exécuter un nouveau processus.
En outre, ce malware est capable de communiquer avec un serveur de commande et de contrôle (C2) en envoyant des signaux de balayage à l'ID de chat Telegram configuré, en recevant des instructions supplémentaires et en envoyant les résultats de l'exécution à nouveau à l'opérateur. Les commandes prises en charge comprennent le téléchargement pour exécuter le module do, cmd pour exécuter le module cm et runapp pour lancer des processus spécifiques.
« Ce malware peut prendre et enregistrer plusieurs modules du stockage à distance, exécuter des commandes arbitraires, collecter et exporter des fichiers, ainsi que distribuer du malware supplémentaire avec une persistance par le biais de tâches planifiées », a déclaré HarfangLab. « SloppyMIO envoie des messages d’état, vérifie les commandes et envoie les fichiers volés à l’opérateur en utilisant l’API de Telegram Bot comme commande et contrôle. »
L'attribution à l'acteur iranien est basée sur l'existence d'artefacts en farsi, le thème de la mise en place de l'attaque, ainsi que la similitude des tactiques avec les campagnes précédentes. L'un d'eux est Tortoiseshell, qui utilise également des documents Excel dangereux pour distribuer IMAPLoader via l'injection AppDomainManager.
Le choix de GitHub comme résolveur de drop dead n'est pas non plus nouveau. À la fin de 2022, Secureworks, qui fait maintenant partie de Sophos, a révélé une campagne de sous-clane du groupe d'États iranien appelée Nemesis Kitten qui utilisait GitHub pour distribuer un backdoor appelé Drokbk.
La situation est encore compliquée par l'adoption croissante des outils d'intelligence artificielle par les cybercriminels, ce qui rend les tentatives d'attribution et de détection plus difficiles.
« La dépendance des acteurs de la menace à l’infrastructure des biens de consommation tels que GitHub, Google Drive et Telegram entrave la traçabilité traditionnelle basée sur l’infrastructure, mais ouvre paradoxalement également des métadonnées utiles et présente ses propres défis opérationnels de sécurité pour les acteurs », a déclaré HarfangLab.
Cette révélation survient quelques semaines seulement après que l'activiste iranien basé en Grande-Bretagne et chercheur indépendant en matière de cyberespionnage, Nariman Gharib, a révélé une autre campagne de phishing utilisant le lien « whatsapp-meeting.duckdns[.]org ». Le lien a été diffusé via WhatsApp et a trompé les victimes avec une page de connexion Web WhatsApp fausse.
« Cette page vérifie le serveur de l’attaquant toutes les secondes via /api/p/{victim_id}/ », explique Gharib. « Cela permet à l’attaquant de présenter un code QR directement depuis sa propre session Web WhatsApp à la victime. Lorsque la cible le scanne avec son téléphone, pensant qu’elle rejoint une « réunion », elle authentifie la session du navigateur de l’attaquant. L’attaquant obtient alors un accès complet au compte WhatsApp de la victime. »
La page de phishing demande également à la page de navigateur d’accéder à la caméra, au microphone et à la géolocalisation, de sorte qu’elle fonctionne comme un dispositif de surveillance capable d’enregistrer des photos, de l’audio et la position de la victime en temps réel. Jusqu’à présent, on ne sait pas exactement qui est l’auteur derrière la campagne et quel est son motif principal.
Le journaliste de TechCrunch, Zack Whittaker, qui a approfondi cette activité, a mentionné que la campagne visait également à voler des identifiants Gmail en proposant des pages de connexion Gmail faussées qui collectent des mots de passe et des codes d’authentification en deux facteurs (2FA). Environ 50 personnes auraient été victimes, y compris des citoyens ordinaires de la communauté kurde, des universitaires, des fonctionnaires, des hommes d’affaires et d’autres personnalités seniors.
Ces conclusions sont apparues peu de temps après qu’un autre groupe de hackeurs iraniens, Charming Kitten, ait subi une fuite majeure qui a révélé la structure de leur organisation, leur fonctionnement interne et leurs personnels clés. La fuite a également révélé l’existence d’une plate-forme de surveillance appelée Kashef — également connue sous le nom de Discoverer ou Revealer — utilisée pour suivre les citoyens iraniens et étrangers en combinant les données de divers services liés au Corps des gardiens de la révolution islamique iranienne (IRGC).
En octobre 2025, Gharib a également publié une base de données contenant 1 051 personnes ayant suivi divers programmes de formation à l’Académie Ravin, une école de cybersécurité créée en 2019 par deux opérateurs du ministère iranien de l’intelligence et de la sécurité (MOIS), Seyed Mojtaba Mostafavi et Farzin Karimi. Cette institution a été sanctionnée par le département du Trésor américain en octobre 2022 pour avoir soutenu et facilité les opérations du MOIS.
Ravin Academy est censé fournir une formation dans les domaines de la sécurité de l’information, de la chasse aux menaces, du red teaming, de la cyber-forensics, de l’analyse de malware, de l’audit de la sécurité, du test de pénétration, de la défense du réseau, de la réponse aux incidents, de l’analyse des vulnérabilités, du test de pénétration mobile, de la rétro-ingénierie, jusqu’à la recherche en sécurité.
Dans une annonce sur son canal Telegram officiel le 22 octobre 2025, Ravin Academy a confirmé la violation de données. Ils ont déclaré qu’un système en ligne géré hors de son réseau interne avait été la cible d’une attaque cybernétique, qui a conduit à la fuite des noms d’úses et des numéros de teléphone de la plupart des participants à la formation. Cependant, l’acadmie a déclaré que l’attaque visait à nuire à sa reputation et que la plupart des données divulguées n’etaient pas valides.
« Ce modèle permet au MOIS de déléguer le recrutement initial et le processus de sélection, tout en conservant le contrôle opérationnel par le biais de la relation directe des fondateurs avec les services de renseignement », a déclaré Gharib. « Cette structure double permet au MOIS de développer des ressources humaines pour les opérations cybernétiques, tout en gardant un certain distance de l’attribution directe au gouvernement. »
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
