Un acteur menaçant parlant le farsi et favorable aux intérêts de l'État iranien est soupçonné d'être à l'origine d'une nouvelle campagne visant des organisations non gouvernementales et des individus impliqués dans la documentation des récentes violations des droits humains.
L'activité, observée par HarfangLab en janvier 2026, portait le nom de code chaton rouge. Cela coïnciderait avec les troubles nationaux en Iran qui ont commencé fin 2025, pour protester contre la flambée de l’inflation, la hausse des prix alimentaires et la dépréciation de la monnaie. La répression qui en a résulté a fait un grand nombre de victimes et une panne d'Internet.
“Le malware s'appuie sur GitHub et Google Drive pour la configuration et la récupération modulaires des charges utiles, et utilise Telegram pour le commandement et le contrôle”, a déclaré la société française de cybersécurité.
Ce qui rend la campagne remarquable, c'est le recours probable de l'acteur malveillant à des modèles de langage étendus (LLM) pour créer et orchestrer les outils nécessaires. Le point de départ de l'attaque est une archive 7-Zip dont le nom de fichier est en farsi et qui contient des documents Microsoft Excel avec des macros.
Les feuilles de calcul XLSM prétendent inclure des détails sur les manifestants décédés à Téhéran entre le 22 décembre 2025 et le 20 janvier 2026. Mais à l'intérieur de chacune d'elles se trouve une macro VBA malveillante qui, lorsqu'elle est activée, fonctionne comme un compte-gouttes pour un implant basé sur C# (“AppVStreamingUX_Multi_User.dll”) en utilisant une technique appelée injection AppDomainManager.
La macro VBA, quant à elle, montre des signes d'avoir été générée par un LLM en raison du “style général du code VBA, des noms de variables et des méthodes” utilisé, ainsi que de la présence de commentaires tels que “PARTIE 5 : Rapporter le résultat et planifier en cas de succès”.
Il s’agit probablement d’une tentative visant à cibler des personnes recherchant des informations sur des personnes disparues, en exploitant leur détresse émotionnelle pour provoquer un faux sentiment d’urgence et déclencher la chaîne d’infection. L'analyse des données des feuilles de calcul, telles que les âges et les dates de naissance qui ne correspondent pas, suggère qu'il s'agit d'une invention.
La porte dérobée, appelée SloppyMIO, utilise GitHub comme système de résolution de crash pour récupérer les URL de Google Drive hébergeant des images à partir desquelles leur configuration est obtenue de manière stéganographique, y compris les détails du jeton du bot Telegram, l'ID de chat Telegram et les liens organisant divers modules. Jusqu'à cinq modules différents sont pris en charge :
- cm, pour exécuter des commandes en utilisant “cmd.exe”
- faire, pour collecter les fichiers sur l'hôte compromis et créer une archive ZIP pour chaque fichier qui correspond aux limites de taille de fichier de l'API Telegram
- ci-dessus, pour écrire un fichier dans “%LOCALAPPDATA%\Microsoft\CLR_v4.0_32\NativeImages\”, avec les données du fichier encodées dans une image obtenue via l'API Telegram
- pr, pour créer une tâche planifiée de persistance pour exécuter un exécutable toutes les deux heures
- ra, pour démarrer un processus
De plus, le malware est capable de contacter un serveur de commande et de contrôle (C2) pour pointer vers l'ID de chat Telegram configuré, recevoir des instructions supplémentaires et envoyer les résultats à l'opérateur :
- download, qui exécute le module do
- cmd, qui exécute le module cm
- runapp, pour démarrer un processus
“Le logiciel malveillant peut récupérer et mettre en cache plusieurs modules à partir du stockage distant, exécuter des commandes arbitraires, collecter et exfiltrer des fichiers et déployer d'autres logiciels malveillants avec persistance via des tâches planifiées”, a déclaré HarfangLab. “SloppyMIO envoie des messages d'état, interroge les commandes et envoie les fichiers exfiltrés à un opérateur spécifique en tirant parti de l'API Telegram Bot pour la commande et le contrôle.”
En termes d'attribution, les liens vers des acteurs iraniens sont basés sur la présence d'artefacts farsi, de thèmes leurres et de similitudes tactiques avec des campagnes précédentes, notamment celle de Tortoiseshell, qui a exploité des documents Excel malveillants pour fournir IMAPLoader via l'injection d'AppDomainManager.
Le choix des attaquants de GitHub comme outil de résolution de problèmes n’est pas non plus sans précédent. Fin 2022, Secureworks (qui fait désormais partie de Sophos) a détaillé une campagne entreprise par un sous-groupe d'un groupe d'État-nation iranien connu sous le nom de Nemesis Kitten, qui a utilisé GitHub comme canal pour proposer une porte dérobée appelée Drokbk.
L’adoption croissante d’outils d’intelligence artificielle (IA) par les adversaires complique encore davantage les choses, ce qui rend difficile pour les défenseurs de distinguer un acteur de l’autre.
« La dépendance des acteurs malveillants à l'égard des infrastructures banalisées (GitHub, Google Drive et Telegram) entrave la surveillance traditionnelle basée sur les infrastructures, mais expose paradoxalement des métadonnées utiles et pose d'autres défis de sécurité opérationnelle pour l'acteur malveillant », a déclaré HarfangLab.
Cette évolution intervient quelques semaines après que le militant iranien et chercheur indépendant en cyberespionnage basé au Royaume-Uni, Nariman Gharib, a révélé les détails d'un lien de phishing (“whatsapp-meeting.duckdns[.]org”) qui est distribué via WhatsApp et capture les informations d'identification des victimes en affichant une fausse page Web de connexion WhatsApp.
“La page interroge le serveur de l'attaquant toutes les secondes via /api/p/{victim_id}/”, a expliqué Gharib. “Cela permet à l'attaquant d'envoyer un code QR en direct depuis sa propre session Web WhatsApp directement à la victime. Lorsque la cible le scanne avec son téléphone, pensant qu'elle rejoint une “réunion”, elle authentifie en fait la session de navigateur de l'attaquant. L'attaquant obtient un accès complet au compte WhatsApp de la victime. “
La page de phishing est également conçue pour demander l'autorisation du navigateur pour accéder à la caméra, au microphone et à la géolocalisation de l'appareil, le transformant ainsi en un kit de surveillance capable de capturer des photographies, des fichiers audio et la localisation actuelle des victimes. On ignore actuellement qui est à l’origine de cette campagne ni quelle en était la motivation.
Zack Whittaker de TechCrunch, qui a découvert plus de détails sur l'activité, a déclaré qu'elle visait également à voler les informations d'identification Gmail en proposant une fausse page de connexion Gmail qui collecte le mot de passe de la victime et le code d'authentification à deux facteurs (2FA). On a découvert qu'une cinquantaine de personnes étaient touchées. Cela inclut des gens ordinaires de la communauté kurde, des universitaires, des représentants du gouvernement, des chefs d’entreprise et d’autres personnalités importantes.
Ces découvertes font également suite à une fuite majeure subie par le groupe de piratage iranien Charming Kitten, qui a révélé son fonctionnement interne, sa structure organisationnelle et le personnel clé impliqué. Les fuites ont également mis en lumière une plateforme de surveillance appelée Kashef (également connue sous le nom de Discoverer ou Revealer) pour suivre les citoyens iraniens et étrangers en regroupant les données collectées par différents départements associés au Corps des Gardiens de la révolution islamique (CGRI).
En octobre 2025, Gharib a également mis à disposition une base de données regroupant 1 051 personnes inscrites à diverses formations proposées par la Ravin Academy, une école de cybersécurité fondée par deux agents du ministère iranien du renseignement et de la sécurité (Vevak), Seyed Mojtaba Mostafavi et Farzin Karimi. L'entité a été sanctionnée par le Département du Trésor des États-Unis en octobre 2022 pour avoir soutenu et permis les opérations du Vevak.
Cela comprend l'assistance du Vevak dans la formation à la sécurité de l'information, la chasse aux menaces, la cybersécurité, l'équipe rouge, la criminalistique numérique, l'analyse des logiciels malveillants, l'audit de sécurité, les tests d'intrusion, la défense du réseau, la réponse aux incidents, l'analyse de vulnérabilité, les tests d'intrusion mobile, l'ingénierie inverse et la recherche sur la sécurité.
« Ce modèle permet au Vevak d'externaliser le recrutement initial et les enquêtes tout en conservant le contrôle opérationnel grâce à la relation directe des fondateurs avec les services de renseignement », a déclaré Gharib. « Cette structure à double objectif permet au Vevak de développer le capital humain pour les cyberopérations tout en maintenant une certaine séparation par rapport à l'attribution directe du gouvernement. »
