Des personnalités travaillant sur les affaires du Moyen-Orient dans des universités et des organismes de recherche en Belgique, en France, à Gaza, en Israël, au Royaume-Uni et aux États-Unis ont été ciblées par un groupe de cyberespionnage iranien appelé Tempête de sable mentale depuis novembre 2023.
L’auteur de la menace « a utilisé des leurres de phishing sur mesure pour tenter d’inciter socialement ses cibles à télécharger des fichiers malveillants », selon l’équipe Microsoft Threat Intelligence. dit dans une analyse de mercredi, le décrivant comme un « sous-groupe techniquement et opérationnellement mature de Mind Sandstorm ».
Les attaques, dans certains cas, impliquent l’utilisation d’une porte dérobée jusqu’alors non documentée, baptisée MediaPl, indiquant les efforts continus des acteurs iraniens de la menace pour affiner leur stratégie post-intrusion.
Mint Sandstorm, également connu sous les noms d’APT35, Charming Kitten, TA453 et Yellow Garuda, est connu pour ses campagnes d’ingénierie sociale expertes, recourant même à des comptes légitimes mais compromis pour envoyer des e-mails de phishing sur mesure à des cibles potentielles. Il est considéré comme étant affilié au Corps des Gardiens de la révolution islamique d’Iran (CGRI).
Le sous-cluster, selon Redmond, s’engage dans une ingénierie sociale à forte intensité de ressources pour sélectionner les journalistes, chercheurs, professeurs et autres personnes ayant des connaissances sur les questions de sécurité et de politique intéressant Téhéran.
La dernière série d’intrusions se caractérise par l’utilisation de leurres liés à la guerre entre Israël et le Hamas, l’envoi d’e-mails inoffensifs sous le couvert de journalistes et d’autres individus de premier plan pour établir des relations avec des cibles et établir un niveau de confiance avant de tenter de transmettre des logiciels malveillants à leurs cibles. cibles.
Microsoft a déclaré qu’il est probable que la campagne soit un effort entrepris par l’acteur menaçant de l’État-nation pour recueillir des points de vue sur les événements liés à la guerre.
L’utilisation de comptes piratés appartenant aux personnes qu’ils cherchaient à usurper l’identité afin d’envoyer les messages électroniques est une nouvelle tactique de Mind Sandstorm jamais vue auparavant, tout comme l’utilisation de la commande curl pour se connecter au système de commande et de contrôle (C2). Infrastructure.
Si les cibles interagissent avec l’acteur malveillant, elles reçoivent un e-mail de suivi contenant un lien malveillant pointant vers un fichier d’archive RAR qui, une fois ouvert, conduit à la récupération des scripts Visual Basic du serveur C2 pour les conserver dans le environnements des cibles.
Les chaînes d’attaque ouvrent la voie à des implants personnalisés comme MischiefTut ou MediaPl, dont le premier a été divulgué pour la première fois par Microsoft en octobre 2023.
Implémenté dans PowerShell, MischiefTut est une porte dérobée de base qui peut exécuter des commandes de reconnaissance, écrire des sorties dans un fichier texte et télécharger des outils supplémentaires sur un système compromis. La première utilisation enregistrée du malware remonte à fin 2022.
MediaPl, quant à lui, se fait passer pour Windows Media Player et est conçu pour transmettre des communications cryptées à son serveur C2 et lancer la ou les commandes qu’il a reçues du serveur.
“Mint Sandstorm continue d’améliorer et de modifier les outils utilisés dans les environnements des cibles, activité qui pourrait aider le groupe à persister dans un environnement compromis et à mieux échapper à la détection”, a déclaré Microsoft.
“La capacité d’obtenir et de maintenir un accès à distance au système d’une cible peut permettre à Mint Sandstorm de mener une série d’activités pouvant avoir un impact négatif sur la confidentialité d’un système.”
La révélation intervient alors que le journal néerlandais De Volkskrant révélé plus tôt ce mois-ci que Erik van Sabbenun ingénieur néerlandais recruté par les services de renseignement israéliens et américains, aurait utilisé une pompe à eau pour déployer un première variante du désormais tristement célèbre malware Stuxnet dans une installation nucléaire iranienne en 2007.



