Netcrook Logo
👤 WHITEHAWK
🗓️ 18 Dec 2025   🌍 Middle-East

Le retour de l’éclair : plongée dans le come-back obscur des hackers iraniens « Prince of Persia »

Après des années dans l’ombre, le célèbre groupe iranien de cyber-espionnage revient avec des outils avancés et une liste de cibles mondiale.

On croyait l’affaire classée. Pendant près de trois ans, le collectif de hackers iranien connu sous le nom de « Prince of Persia » (ou « Infy ») semblait avoir disparu du champ de bataille numérique, ne laissant derrière lui que l’écho de ses anciennes campagnes contre diplomates et dissidents. Mais de nouvelles recherches révèlent que ce silence n’était qu’un écran de fumée. Le groupe a refait surface, plus sophistiqué et ambitieux que jamais - prouvant que, dans le monde du cyber-espionnage, les vieux fantômes ne restent que rarement enterrés.

De « l’Opération Sirène » à la prise de contrôle de Telegram

Dévoilé pour la première fois en 2016 pour avoir ciblé des diplomates danois, Prince of Persia a toujours joué sur la durée. Leurs opérations ont systématiquement visé des adversaires politiques - journalistes, activistes et officiels - plutôt que le gain financier. Les premières actions du groupe, notamment des ingérences lors des élections iraniennes de 2013 et des attaques contre BBC Persia, révélaient une mission alignée sur le gouvernement.

Après une répression qui les a forcés à se cacher, les hackers se sont réorganisés. Ils ont déployé de nouvelles familles de malwares : Foudre, un outil de reconnaissance furtif se faisant passer pour des fichiers anodins (comme « Notable Martyrs.zip »), et Tonnerre, un implant de seconde phase puissant réservé aux cibles de grande valeur. Ensemble, ces outils forment un duo redoutable - d’abord l’identification des victimes, puis le déploiement de capacités d’espionnage à large spectre.

Mais la révélation la plus frappante est l’adoption par le groupe de Telegram pour le commandement et le contrôle. Des enquêteurs de SafeBreach Labs ont découvert que les hackers opéraient via un canal Telegram privé, géré par l’alias @ehsan8999100 et un bot Telegram personnalisé. Ce passage aux plateformes sociales chiffrées leur permet non seulement d’échapper à la détection, mais aussi de coordonner leurs attaques en temps réel.

Rester cachés - et se faire prendre

L’arsenal technique de Prince of Persia s’est étoffé. Ils déploient désormais plusieurs variantes de malwares simultanément, utilisant des techniques comme les Domain Generation Algorithms (DGA) pour faire tourner leur infrastructure numérique et éviter d’être mis sur liste noire. D’autres outils, tels que Amaq News Finder et MaxPinner, se concentrent sur l’exfiltration de données depuis les comptes Telegram des victimes.

Malgré leurs efforts pour rester invisibles, les chercheurs de SafeBreach ont trouvé une faille dans leur armure - un schéma prévisible dans la nomination des fichiers du groupe. En exploitant cette faiblesse, les analystes ont accédé à des quantités massives de données volées remontant à 2021, révélant l’ampleur mondiale de l’activité du groupe.

La nouvelle normalité du cyber-espionnage

La saga Prince of Persia met en lumière une réalité inquiétante : les hackers soutenus par des États s’adaptent, se réorganisent et reviennent avec des griffes plus acérées. Leur dernière campagne est un avertissement pour les gouvernements, les activistes et tous ceux qui osent s’opposer - les menaces cyber ne prennent pas leur retraite, elles se rechargent. À mesure que la guerre froide numérique s’intensifie, la vigilance, et non la complaisance, reste la seule défense.

WIKICROOK

  • Advanced Persistent Threat (APT) : Une menace persistante avancée (APT) est une cyberattaque prolongée et ciblée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Malware : Le malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données à partir d’appareils informatiques sans le consentement de l’utilisateur.
  • Domain Generation Algorithm (DGA) : Un DGA crée de nombreux domaines pour permettre à un malware de contacter des serveurs C2, aidant ainsi les attaquants à échapper à la détection et aux tentatives de neutralisation.
  • Reconnaissance : La reconnaissance est la phase initiale d’une cyberattaque où les attaquants recueillent des informations sur une cible afin d’identifier ses faiblesses et de planifier leur approche.
Iran Hackers Cyber Espionage Prince of Persia
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news