Des hackers iraniens weaponisent Telegram pour l'espionnage cybernétique
Les enquêteurs fédéraux américains ont émis une alerte formelle avertissant les défenseurs des réseaux d'une campagne cybernétique coordonnée dans laquelle des hackers affiliés à l'État iranien exploitent la plateforme de messagerie Telegram pour commander des malwares déployés contre des adversaires perçus du gouvernement iranien.
Les hackers, opérant sous la bannière du groupe hacktiviste Handala — également connu sous les noms de Handala Hack Team, Hatef et Hamsa — ainsi que le groupe de menaces parrainé par l'État Homeland Justice lié aux Gardiens de la Révolution islamique (IRGC), utilisent Telegram comme infrastructure de commande et de contrôle (C2) pour gérer des malwares Windows sur des systèmes compromis.
Cibles et tactiques d'attaque
La campagne cible spécifiquement les journalistes critiques envers le gouvernement iranien, les dissidents iraniens vivant à l'étranger, et un éventail d'organisations d'opposition actives à l'échelle mondiale. Une fois le malware installé avec succès sur l'appareil d'une victime, les attaquants peuvent capturer des captures d'écran et exfiltrer des fichiers sensibles de la machine compromise.
Des techniques d'ingénierie sociale sont utilisées pour inciter les cibles à installer le logiciel malveillant. Les attaquants ont affiné leur approche pour paraître crédibles, se faisant souvent passer pour des contacts ou des organisations de confiance afin de gagner la confiance des victimes avant de livrer les charges malveillantes.
Groupes de menace et saisie de domaines
Dans une action coordonnée, les autorités chargées de l'application des lois ont saisi quatre domaines Internet précédemment exploités par les groupes Handala et Homeland Justice, ainsi qu'un troisième acteur de menace connu sous le nom de Karma Below. Ces domaines servaient de plateformes pour publier des données et des documents volés lors de cyberattaques contre des victimes aux États-Unis et dans le monde entier.
Les mêmes acteurs malveillants ont également été impliqués dans une cyberattaque destructrice contre une grande entreprise américaine de technologie médicale, dans laquelle ils ont exploité l'accès à un compte administrateur de domaine Windows et exécuté un effacement massif des appareils affectant environ 80 000 points de terminaison, notamment des ordinateurs d'employés et des appareils mobiles gérés par l'entreprise.
Paysage plus large de la cybermenace iranienne
Les autorités ont lié les groupes Handala et Homeland Justice au ministère iranien du Renseignement et de la Sécurité (MOIS), identifiant cette campagne comme faisant partie d'un schéma plus large d'opérations cybernétiques iraniennes conçues pour réduire la dissidence au silence, collecter du renseignement et infliger des dommages réputationnels aux individus et organisations ciblés.
L'alerte décrit le double objectif de ces opérations : recueillir des renseignements exploitables tout en armant simultanément les données volées pour nuire à la crédibilité et à la réputation des victimes. Les autorités ont souligné que les tensions géopolitiques élevées au Moyen-Orient ont directement contribué à une augmentation de ce type d'activité malveillante.
Recommandations de mitigation
En plus de sensibiliser, les autorités fédérales ont publié un ensemble de stratégies de mitigation recommandées pour aider les organisations et les individus à réduire leur exposition à ces menaces. Il s'agit notamment d'une surveillance renforcée du trafic réseau pour les communications inhabituelles liées à Telegram, de capacités robustes de détection et de réponse aux points d'extrémité, et d'une formation à la sensibilisation des utilisateurs axée sur les tactiques d'ingénierie sociale couramment utilisées dans les campagnes de phishing ciblées et de livraison de malwares.
