Le Prince de Perse revient : le réseau mondial de logiciels malveillants d’Infy APT exposé après des années dans l’ombre

Le groupe iranien de hackers insaisissable est de retour, déployant des malwares améliorés à travers les continents et innovant dans les tactiques de cyber-espionnage.

Pendant près de cinq ans, le collectif iranien de hackers tristement célèbre connu sous le nom d’Infy - ou le « Prince de Perse » - n’était plus qu’une légende urbaine dans le milieu de la cybersécurité. Mais les récentes découvertes des chasseurs de menaces ont brisé le silence : Infy n’est pas seulement actif, il a évolué, orchestrant une nouvelle vague de cyberattaques sophistiquées qui s’étendent du Moyen-Orient à l’Europe et à l’Amérique du Nord.

En bref

Le groupe APT Infy (Prince de Perse) est réapparu après cinq ans d’inactivité, ciblant des victimes en Iran, Irak, Turquie, Inde, Canada et Europe.
Les principaux outils malveillants incluent Foudre (un téléchargeur et profileur) et Tonnerre (un implant d’exfiltration de données), tous deux désormais dotés de fonctionnalités améliorées.
Infy utilise un algorithme de génération de domaines (DGA) et une validation cryptographique pour sécuriser ses canaux de commande et contrôle (C2).
La diffusion des malwares est passée des fichiers Excel avec macros à des exécutables intégrés, contournant les défenses traditionnelles.
De nouvelles preuves relient l’infrastructure du groupe à un contrôle basé sur Telegram et suggèrent un écosystème d’espionnage plus large parmi les APT iraniennes.

Le Prince de Perse n’est pas qu’une relique de la cyberguerre des années 2000. Selon SafeBreach, la dernière campagne d’Infy est plus vaste et audacieuse, avec des variantes de malwares mises à jour et de nouvelles astuces techniques. Autrefois connu pour cibler la Suède, les Pays-Bas et la Turquie, le groupe élargit désormais son champ d’action - y compris l’Iran lui-même, ainsi que l’Irak, l’Inde, le Canada et plusieurs pays européens.

Les principales armes d’Infy sont deux outils interconnectés : Foudre, un téléchargeur et profileur de victimes, et Tonnerre, un implant furtif conçu pour le vol de données. Foudre, désormais dans sa 34e version, est généralement diffusé via des emails de phishing, souvent dissimulé dans des documents apparemment anodins. La chaîne d’attaque a évolué : au lieu des anciens fichiers Excel à macros, le malware est désormais intégré directement sous forme d’exécutable dans les documents, une technique qui déjoue de nombreux filtres de sécurité traditionnels.

Ce qui distingue Infy des autres APT iraniennes, c’est sa sophistication technique et sa discrétion opérationnelle. Son malware utilise un algorithme de génération de domaines (DGA) pour créer des domaines de commande et contrôle (C2) résilients et difficiles à bloquer. Chaque jour, Foudre télécharge un fichier de signature chiffré avec des clés RSA, validant ainsi qu’il communique avec un serveur C2 approuvé - une couche d’authenticité rarement observée dans les malwares criminels.

Côté infrastructure, les analystes de SafeBreach ont découvert l’architecture C2 d’Infy, comprenant un répertoire « key » pour la validation, des dossiers pour les journaux et les données volées, et même un mystérieux dossier « download » - peut-être destiné à de futures mises à jour. Les dernières évolutions de Tonnerre incluent un mécanisme pour contacter un groupe Telegram secret, utilisant un bot et un opérateur humain pour un contrôle en temps réel et la collecte de données. L’accès à cette capacité est strictement limité, activé uniquement pour des cibles spécifiques et à haute valeur.

L’arsenal d’Infy est robuste et varié : les anciennes campagnes utilisaient de fausses applications d’actualités et des chevaux de Troie pour espionner les victimes, y compris l’écoute des communications Telegram. Le long silence du groupe était une ruse ; en réalité, Infy perfectionnait discrètement ses outils et étendait son influence.

Parallèlement, des enquêtes plus larges révèlent que le paysage des APT iraniennes est profondément interconnecté. Des groupes comme Charming Kitten et Moses Staff partagent ressources, cibles et même une infrastructure bureaucratique - fonctionnant moins comme des hackers isolés que comme de véritables départements cyber-étatiques.

À mesure que la nouvelle campagne d’Infy se déploie, une chose est claire : le Prince de Perse n’est pas un mythe. Son retour en force rappelle brutalement que même les acteurs les plus silencieux peuvent être les plus dangereux, évoluant dans l’ombre jusqu’à la prochaine attaque. Pour les défenseurs, la vigilance et l’adaptabilité sont plus cruciales que jamais face à ces adversaires persistants.

WIKICROOK

Advanced Persistent Threat (APT) : Une menace persistante avancée (APT) est une cyberattaque prolongée et ciblée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
Algorithme de génération de domaines (DGA) : Un DGA crée de nombreux domaines pour permettre aux malwares de contacter les serveurs C2, aidant les attaquants à échapper à la détection et aux tentatives de neutralisation.
Phishing : Le phishing est un cybercrime où les attaquants envoient de faux messages pour tromper les utilisateurs et leur faire révéler des données sensibles ou cliquer sur des liens malveillants.
Chiffrement RSA : Le chiffrement RSA est une méthode de sécurité utilisant de grands nombres et deux clés pour protéger les données, rendant l’accès non autorisé quasiment impossible.