Les chercheurs de Proofpoint ont récemment publié de nouvelles recherches sur un groupe de pirates informatiques appelé TA453 (alias Charming Kitten) lié à l’État iranien et très porté sur le nucléaire.
Ces recherches révèlent que ce groupe utilise maintenant de nouveaux outils et techniques d’attaque. Ils déploient des fichiers compromis de types différents et ciblent spécifiquement les utilisateurs de Mac en leur envoyant des logiciels malveillants. Les conclusions de ces recherches montrent également que le groupe cible de plus en plus les experts en sécurité nucléaire.
Les principales conclusions de ces recherches
- Dans de nouvelles campagnes, le groupe de pirates informatiques TA453 s’est fait passer pour un directeur de recherche du Royal United Services Institute (RUSI) afin de cibler certains médias. Ils leur proposent de les mettre en contact avec un expert en sécurité nucléaire d’un groupe de réflexion basé aux États-Unis, spécialisé en affaires internationales. Le groupe TA453 continue également d’utiliser des messages apparemment inoffensifs pour cibler les experts du Moyen-Orient et de la sécurité nucléaire.
- Ce groupe de pirates adapte constamment son arsenal de logiciels malveillants. Ils déploient de nouveaux types de fichiers et ciblent de nouveaux systèmes d’exploitation, en particulier en envoyant des logiciels malveillants spécifiquement conçus pour les appareils Mac.
- Le groupe utilise une approche multicloud pour compliquer la tâche des chercheurs de menaces. Ils exploitent des services tels que Google Scripts, Dropbox et CleverApps.
- TA453 poursuit ses objectifs de collecte d’informations intrusives et non autorisées. Ils déploient des portes dérobées modulaires pour recueillir des renseignements auprès de personnes spécifiquement ciblées.
- Suite à l’arrêt des macros VBA par Microsoft, le groupe a changé de technique d’attaque. Depuis mai 2023, ils utilisent des chaînes d’infection LNK à la place des documents Microsoft Word contenant des macros.
L’intégralité de cette recherche est disponible derrière ce lien