Se connecter
Inscription
Mot de passe perdu
Publié le 05/06/2025 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
MONTREAL, BRATISLAVA, le 5 juin 2025 — D’après les chercheurs d'ESET, le groupe malveillant BladedFeline, lié à l'Iran, a récemment ciblé des responsables gouvernementaux kurdes et irakiens lors d'une campagne de cyber-espionnage. Le groupe a déployé divers outils malveillants découverts dans les systèmes compromis, démontrant une volonté constante de maintenir et d'élargir l'accès à de hauts responsables et à des organisations gouvernementales en Irak et dans la région kurde. Cette nouvelle campagne souligne l'évolution des capacités de BladedFeline, avec des outils de tunneling (Laret et Pinar), divers outils supplémentaires, une porte dérobée personnalisée Whisper et un module malveillant de services Internet (IIS) PrimeCache, tous deux identifiés par ESET.
Whisper se connecte à un compte web compromis sur un serveur Microsoft Exchange et l'utilise pour communiquer avec les attaquants via des pièces jointes. PrimeCache fait aussi office de porte dérobée. C’est un module IIS malveillant qui présente des similitudes avec la porte dérobée RDAT utilisée par le groupe APT OilRig (Advanced Persistent Threat).
Sur base de ces codes similaires ainsi que d'autres éléments présentés ici, ESET estime que BladedFeline est fort probablement un sous-groupe d'OilRig, un groupe APT pro-iranien ciblant des gouvernements et des entreprises au Moyen-Orient. Les premiers implants de la dernière campagne remontent à OilRig. Ces outils illustrent la stratégie du groupe axée sur la persistance et la furtivité au sein des réseaux ciblés.
BladedFeline a travaillé sans relâche pour maintenir un accès illicite aux diplomates kurdes, tout en exploitant simultanément un fournisseur régional de télécommunications en Ouzbékistan et en développant et en maintenant l'accès aux responsables du gouvernement irakien.
ESET Research estime que BladedFeline cible les gouvernements kurde et irakien à des fins de cyber-espionnage, dans le but de maintenir un accès stratégique aux ordinateurs de hauts fonctionnaires des deux gouvernements. Les relations diplomatiques du Kurdistan avec les pays occidentaux, combinées aux réserves pétrolières de la région, en font une cible de choix pour les acteurs malveillants pro-iraniens, qui cherchent à l'espionner et à la manipuler. En Irak, ces acteurs cherchent vraisemblablement à contrer l'influence des gouvernements occidentaux depuis l'invasion et l'occupation du pays par les États-Unis.
En 2023, ESET Research a découvert que BladedFeline ciblait des diplomates kurdes avec la porte dérobée Shahmaran, activités qui avaient été révélées dans les rapports d'activités APT d'ESET. Le groupe est actif depuis au moins 2017, lorsqu’il a compromis des responsables du gouvernement régional du Kurdistan, mais il n'est pas le seul sous-groupe d'OilRig surveillé par ESET Research. ESET a suivi Lyceum, aussi connu sous le nom d'HEXANE ou Storm-0133, comme un autre sous-groupe d'OilRig. Lyceum cible diverses organisations israéliennes, dont des entités gouvernementales et locales et aussi des organismes du secteur de la santé.
ESET pense que BladedFeline poursuivra le développement de l'implant pour maintenir et étendre l'accès parmi ses victimes compromises pour des actions de cyber-espionnage.
Pour une analyse plus détaillée et technique des outils de BladedFeline utilisés dans l'opération RoundPress, consultez le dernier blog d'ESET Research “Whispering in the dark” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter, BlueSky, et Mastodon pour être informé des dernières actualités.
A propos d’ESET
Fondée en Europe, ESET® est le leader européen en cyber sécurité et possède des bureaux dans le monde entier. L‘entreprise offre une sécurité numérique de pointe pour prévenir les attaques. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, protégeant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d‘appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et faciles à utiliser.
La technologie ESET est « Made in EU » et dispose d‘une détection et d‘une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du monde numérique exige une approche progressiste de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique des menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez ses réseaux sociaux, podcasts et blogs ou suivez-nous sur LinkedIn, Facebook, X et https://www.est.com/be-fr/.
Whisper se connecte à un compte web compromis sur un serveur Microsoft Exchange et l'utilise pour communiquer avec les attaquants via des pièces jointes. PrimeCache fait aussi office de porte dérobée. C’est un module IIS malveillant qui présente des similitudes avec la porte dérobée RDAT utilisée par le groupe APT OilRig (Advanced Persistent Threat).
Sur base de ces codes similaires ainsi que d'autres éléments présentés ici, ESET estime que BladedFeline est fort probablement un sous-groupe d'OilRig, un groupe APT pro-iranien ciblant des gouvernements et des entreprises au Moyen-Orient. Les premiers implants de la dernière campagne remontent à OilRig. Ces outils illustrent la stratégie du groupe axée sur la persistance et la furtivité au sein des réseaux ciblés.
BladedFeline a travaillé sans relâche pour maintenir un accès illicite aux diplomates kurdes, tout en exploitant simultanément un fournisseur régional de télécommunications en Ouzbékistan et en développant et en maintenant l'accès aux responsables du gouvernement irakien.
ESET Research estime que BladedFeline cible les gouvernements kurde et irakien à des fins de cyber-espionnage, dans le but de maintenir un accès stratégique aux ordinateurs de hauts fonctionnaires des deux gouvernements. Les relations diplomatiques du Kurdistan avec les pays occidentaux, combinées aux réserves pétrolières de la région, en font une cible de choix pour les acteurs malveillants pro-iraniens, qui cherchent à l'espionner et à la manipuler. En Irak, ces acteurs cherchent vraisemblablement à contrer l'influence des gouvernements occidentaux depuis l'invasion et l'occupation du pays par les États-Unis.
En 2023, ESET Research a découvert que BladedFeline ciblait des diplomates kurdes avec la porte dérobée Shahmaran, activités qui avaient été révélées dans les rapports d'activités APT d'ESET. Le groupe est actif depuis au moins 2017, lorsqu’il a compromis des responsables du gouvernement régional du Kurdistan, mais il n'est pas le seul sous-groupe d'OilRig surveillé par ESET Research. ESET a suivi Lyceum, aussi connu sous le nom d'HEXANE ou Storm-0133, comme un autre sous-groupe d'OilRig. Lyceum cible diverses organisations israéliennes, dont des entités gouvernementales et locales et aussi des organismes du secteur de la santé.
ESET pense que BladedFeline poursuivra le développement de l'implant pour maintenir et étendre l'accès parmi ses victimes compromises pour des actions de cyber-espionnage.
Pour une analyse plus détaillée et technique des outils de BladedFeline utilisés dans l'opération RoundPress, consultez le dernier blog d'ESET Research “Whispering in the dark” sur www.WeLiveSecurity.com. Suivez ESET Research sur Twitter, BlueSky, et Mastodon pour être informé des dernières actualités.
A propos d’ESET
Fondée en Europe, ESET® est le leader européen en cyber sécurité et possède des bureaux dans le monde entier. L‘entreprise offre une sécurité numérique de pointe pour prévenir les attaques. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, protégeant ainsi les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d‘appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et faciles à utiliser.
La technologie ESET est « Made in EU » et dispose d‘une détection et d‘une réponse robustes, un chiffrement ultra-sécurisé et une authentification multi facteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du monde numérique exige une approche progressiste de la sécurité : ESET s'engage dans une recherche de pointe et une veille stratégique des menaces, avec le soutien de centres de R&D et d'un solide réseau mondial de partenaires. Pour plus d'informations, rendez-vous sur www.eset.com ou suivez ses réseaux sociaux, podcasts et blogs ou suivez-nous sur LinkedIn, Facebook, X et https://www.est.com/be-fr/.
Liens associés
03/06/2025 @ 09:28:16
Poster un commentaire
Consoles
Matériel
Apple
iOS
Jeux Vidéos
