Rampant Kitten a passé six ans à pirater des dissidents iraniens

Les chercheurs de Check Point ont publié de nouvelles révélations sur les activités de Rampant Kitten, un groupe iranien de menaces persistantes avancées (APT) soutenu par l’État qui a mené une campagne de piratage de six ans afin d’espionner ses victimes, y compris des dissidents et des membres de la diaspora iranienne mondiale.

Ciblant deux applications principales – l’application de messagerie sécurisée Telegram Desktop et le gestionnaire de mots de passe KeePass – Rampant Kitten utilise principalement des documents malveillants pour attirer ses cibles dans l’infection de leurs appareils afin qu’ils puissent voler des informations d’identification et prendre en charge des comptes, ainsi que la journalisation des données du presse-papiers et la prise de captures d’écran de bureau.

Ils utilisent un mécanisme de persistance basé sur la procédure de mise à jour interne de Telegram afin de maintenir un pied dans les appareils de leurs victimes.

« Après avoir mené nos recherches, plusieurs choses se sont démarquées », a déclaré Lallem Finkelsteen, directeur du renseignement sur les menaces de Check Point. « Tout d’abord, l’accent est mis sur la surveillance par messagerie instantanée. Bien que Telegram soit indécryptable, il est clairement détourné. La surveillance par messagerie instantanée, en particulier sur Telegram, est quelque chose que tout le monde devrait être prudent et conscient.

« Deuxièmement, les attaques de phishing mobile, PC et Web étaient toutes liées à la même opération. Ces opérations sont gérées en fonction du renseignement et des intérêts nationaux, par opposition aux défis technologiques. Nous continuerons de surveiller différentes zones géographiques à travers le monde afin de mieux informer le public sur la cybersécurité.

Check Point a déclaré qu’un certain nombre de sites Web liés à l’activité de Rampant Kitten hébergeaient des pages d’hameçonnage se faisant passer pour Telegram – plusieurs véritables chaînes iraniennes Telegram avaient effectivement émis des avertissements à leurs utilisateurs au sujet de ces sites de phishing, affirmant que le régime était derrière eux.

Les messages d’hameçonnage envoyés à partir du faux site Telegram avertissaient leurs destinataires qu’ils faisaient un mauvais usage du service de Telegram et que leur compte serait bloqué s’ils ne cliquaient pas sur le lien de phishing.

L’enquête a également mis au jour des preuves d’une application Android malveillante liée à Rampant Kitten, qui se fait passer pour un service conçu pour aider les locuteurs persans vivant en Suède à obtenir un permis de conduire.

En réalité, l’application agit comme une porte dérobée, permettant aux acteurs malveillants de voler des messages SMS, de transmettre des messages de confirmation SMS d’authentification à deux facteurs à un numéro de téléphone contrôlé par eux, d’exfiltrer les coordonnées et les détails de compte, ainsi que des informations sur les appareils tels que les applications installées et les processus d’exécution, d’initier des enregistrements vocaux de l’environnement immédiat de l’appareil compromis et d’effectuer le phishing du compte Google.

Les dernières révélations de Check Point interviennent quelques jours seulement après que le département américain de la Justice a inculpé deux ressortissants iraniens, Hooman Heidarian et Mehdi Farhadi, dans un acte d’accusation de 10 chefs d’accusation les accusant d’avoir mené une campagne de piratage coordonnée contre des cibles aux États-Unis, en Europe et au Moyen-Orient, dont des dissidents, des militants des droits de l’homme et des dirigeants de l’opposition.

« Ces ressortissants iraniens auraient mené une vaste campagne sur des ordinateurs ici dans le New Jersey et dans le monde entier », a déclaré l’avocat américain Craig Carpenito pour le district du New Jersey. « Ils ont infiltré effrontément des systèmes informatiques et ciblé la propriété intellectuelle et ont souvent cherché à intimider les ennemis présumés de l’Iran, y compris les dissidents qui luttent pour les droits de l’homme en Iran et dans le monde entier.

« ette conduite menace notre sécurité nationale, et par conséquent, ces accusés sont recherchés par le FBI et sont considérés comme des fugitifs de la justice. »

Parmi leurs victimes figuraient des universités, des groupes de réflexion, des entrepreneurs de la défense, des organisations de politique étrangère, des ONG, des organisations à but non lucratif et d’autres entités identifiées comme des « rivaux ou des adversaires » du régime iranien.

En plus de voler des données confidentielles, les assaillants ont vandalisé des sites Web et publié des messages qui semblaient signaler la disparition des ennemis de l’Iran et de son opposition interne.

Ils ont accédé aux systèmes de leurs victimes en utilisant diverses méthodes, y compris le détournement de session et l’injection SQL. Ils ont ensuite utilisé des keyloggers et des chevaux de Troie à accès à distance (Rats) pour maintenir l’accès et surveiller les utilisateurs. Ils sont également accusés d’avoir développé un outil de botnet qui a facilité la propagation de logiciels malveillants et leur a permis de mener des attaques par déni de service.