Netcrook Logo
👤 AGONY
🗓️ 05 Mar 2026   🌍 Middle-East

Diplomatie Fantôme : Comment “Dust Specter” a détourné les réseaux gouvernementaux irakiens avec des malwares de pointe

Un nouveau groupe de hackers lié à l’Iran déploie les malwares SPLITDROP et GHOSTFORM dans une campagne sophistiquée contre des responsables irakiens.

Lorsqu’un email provenant du ministère irakien des Affaires étrangères arrive, la plupart des responsables gouvernementaux l’ouvrent sans hésiter. Mais début 2026, cette confiance a été exploitée comme une arme. Un groupe de hackers insaisissable, désormais surnommé “Dust Specter”, a déjoué les défenses et libéré une nouvelle génération de malwares, transformant l’infrastructure officielle irakienne en tremplin pour l’espionnage - et peut-être bien pire encore.

En Bref

  • “Dust Specter” est un acteur de menace soupçonné d’être lié à l’Iran, ciblant des responsables gouvernementaux irakiens.
  • La campagne utilise des malwares avancés : SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM.
  • Les attaquants se sont fait passer pour le ministère irakien des Affaires étrangères et ont abusé de véritables infrastructures gouvernementales.
  • Les malwares emploient des techniques furtives telles que le sideloading, l’exécution en mémoire et le géorepérage.
  • Des preuves suggèrent que des outils d’IA générative ont aidé au développement du code des malwares.

Anatomie d’une attaque fantôme

La campagne de Dust Specter, révélée par Zscaler ThreatLabz, a commencé par une ruse convaincante : des pièces jointes protégées par mot de passe, conçues pour ressembler à des communications officielles du ministère irakien des Affaires étrangères. Caché à l’intérieur se trouvait SPLITDROP, un dropper de malware basé sur .NET. Cela a déclenché une réaction en chaîne, chargeant deux modules supplémentaires - TWINTASK et TWINTALK - sur les systèmes des victimes.

TWINTASK, déguisé en DLL légitime, s’est chargé par sideloading à l’aide d’un véritable binaire du lecteur multimédia VLC. Toutes les 15 secondes, il vérifiait la présence de nouvelles commandes, les exécutait via PowerShell et enregistrait discrètement les résultats. Pendant ce temps, TWINTALK agissait comme orchestrateur de commande et contrôle (C2), communiquant avec un serveur distant, coordonnant les commandes et exfiltrant les données volées. Les deux modules collaboraient via un simple système de fichiers texte, tout en évitant la détection grâce à des délais aléatoires et des balises basées sur des fichiers.

L’opération ne s’est pas arrêtée là. Dans une évolution plus avancée, Dust Specter a consolidé ses outils dans GHOSTFORM, un binaire unique exécutant toutes les actions malveillantes directement en mémoire - laissant presque aucune trace sur le disque. Certains échantillons de GHOSTFORM ouvraient même de faux sondages en arabe, se faisant passer pour des formulaires officiels du gouvernement, afin d’accentuer la supercherie. Les chercheurs ont également trouvé des indices - comme des emojis de remplacement et du texte généré par IA - suggérant l’utilisation de l’intelligence artificielle générative dans la conception du malware.

Au-delà de la prouesse technique, Dust Specter a exploité l’ingénierie sociale, rappelant les escroqueries “ClickFix”. Lors d’une campagne précédente, le groupe avait utilisé une fausse invitation Cisco Webex pour inciter les utilisateurs à exécuter un script PowerShell malveillant, qui récupérait d’autres charges utiles et mettait en place des tâches planifiées pour assurer la persistance. L’infrastructure - des serveurs gouvernementaux irakiens compromis - a permis au malware de se fondre dans le décor et a rendu la détection encore plus difficile.

Bien que l’attribution soit notoirement difficile, la campagne porte la marque de groupes iraniens établis comme OilRig (APT34) - backdoors .NET sur mesure, utilisation d’infrastructures régionales et ciblage des gouvernements du Moyen-Orient.

Réflexions : Une nouvelle ère de l’espionnage

L’attaque de Dust Specter contre les responsables irakiens est bien plus qu’une simple brèche - c’est un signal d’alerte. En combinant sophistication technique, ingénierie sociale et développement de malware assisté par IA, cette campagne illustre l’évolution du mode opératoire de l’espionnage cybernétique étatique. Pour les gouvernements et les défenseurs, le message est clair : ne faites confiance à rien, vérifiez tout, et attendez-vous à ce que vos adversaires innovent plus vite que jamais.

WIKICROOK

  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • DLL Sideloading : Le sideloading de DLL consiste pour les attaquants à tromper des programmes de confiance afin qu’ils chargent des fichiers d’assistance malveillants (DLL) à la place des fichiers légitimes, permettant ainsi des attaques furtives.
  • In : Un système de paiement intégré à une application permet aux utilisateurs d’acheter des biens ou services numériques directement dans l’application, offrant commodité et meilleur contrôle des revenus pour les développeurs.
  • Ingénierie sociale : L’ingénierie sociale est l’utilisation de la tromperie par des hackers pour amener des personnes à révéler des informations confidentielles ou à fournir un accès non autorisé à des systèmes.
  • Persistance : La persistance regroupe les techniques utilisées par les malwares pour survivre aux redémarrages et rester cachés sur les systèmes, souvent en imitant des processus ou mises à jour légitimes.
Dust Specter Malware Attack Cyber Espionage
AGONY AGONY
Elite Offensive Security Commander
← Back to news