20 Sep
Introduction
Ces dernières années, les cyberattaques affectant des infrastructures critiques ont pris de l’ampleur, en particulier dans les secteurs des télécommunications et de la défense. L’un des incidents notables est l’opération menée par UNC1549, un groupe de cyberespionnage lié à l’Iran. Exploitant des appâts sous forme d’offres d’emploi sur LinkedIn et un malware sophistiqué nommé MINIBIKE, ce groupe a ciblé 34 appareils dans 11 entreprises télécoms à travers le monde, comme récemment dévoilé par la société suisse de cybersécurité PRODAFT.
Une menace sophistiquée : le groupe UNC1549
Identifié pour la première fois en 2024, UNC1549 est attribué à l’IRGC (Corps des Gardiens de la Révolution islamique) iranien. Concentrant ses attaques sur des entreprises en France, aux États-Unis, au Canada, et dans plusieurs autres pays, le groupe utilise des méthodes avancées afin de mener des infiltrations durables, notamment le développement de backdoors modulaires comme MINIBIKE. Cette approche leur permet non seulement de s’introduire mais également de consolider leur accès dans des réseaux critiques.
Stratégie d’attaque via LinkedIn
Comme le révèle PRODAFT, le modus operandi du groupe inclut l’usurpation d’identités de recruteurs sur LinkedIn. Ces comptes, prétendant appartenir à des grandes firmes comme Telespazio, servent à attirer des employés de haut niveau dans les domaines techniques et IT. Une fois la confiance établie, des emails bien conçus redirigent les cibles vers des faux sites imitant ceux de leurs futures entreprises. Les informations saisies par les victimes entraînent le téléchargement de logiciels malveillants contenus dans des fichiers ZIP.
MINIBIKE : un malware modulaire redoutable
Le malware MINIBIKE adopté par UNC1549 se distingue par ses fonctionnalités étendues et son approche ciblée. Une fois exécuté, il peut :
- Collecter des informations système,
- Voler des mots de passe sauvegardés dans les navigateurs comme Google Chrome ou Microsoft Edge,
- Enregistrer les frappes clavier et prendre des captures d’écran,
- Accéder à des données sensibles grâce à un algorithme de déchiffrement des mots de passe du navigateur Chrome.
Outre cela, MINIBIKE opère via des infrastructures cloud d’Azure, rendant le traçage plus complexe et facilitant la communication avec le serveur de commande et contrôle (C2).
Une persistance à long terme
L’objectif ultime du groupe semble être l’accès prolongé aux données critiques des entreprises ciblées. En prolongeant leur présence grâce à des modifications dans le registre Windows ou en volant des configurations VPN, UNC1549 démontre une capacité à obtenir des informations stratégiques, qu’il s’agisse de secrets industriels ou de renseignements militaires.
Conclusion
La sophistication des attaques menées par UNC1549 nous rappelle l’importance croissante des cybersécurités préventive et réactive. Chez Lynx Intel, nous proposons des solutions robustes pour protéger vos infrastructures et données sensibles, tout en établissant des protocoles de surveillance rigoureux, adaptés aux besoins des industries critiques. En identifiant et en neutralisant rapidement ce type de menace, nous contribuons à la résilience de votre organisation face à un paysage numérique de plus en plus complexe.
