Des pirates informatiques iraniens utilisent de faux emplois pour pirater des industries critiques en Europe.
Un groupe de pirates informatiques iraniens connu sous le nom de Nimbus Manticore étend ses opérations et cible désormais de grandes entreprises européennes. Selon une nouvelle étude du cabinet de cybersécurité Check Point Research (CPR), le groupe cible des entreprises des secteurs de la défense, des télécommunications et de l'aérospatiale pour voler des informations sensibles.
Nimbus Manticore, également appelé UNC1549 ou Tempête de Sable Fumée, est activement surveillé depuis début 2025 et a déjà mené la campagne « Job de Rêve Iranien ». Ces campagnes s'inscrivent dans les objectifs stratégiques de collecte de renseignements du CGRI iranien, notamment en période de tensions géopolitiques accrues.
L'attaque commence par un faux e-mail d'invitation à postuler à un emploi. Cet e-mail, d'apparence authentique, redirige les victimes vers un site web frauduleux créé avec un modèle React imitant des entreprises connues comme Boeing , Airbus et Flydubai .
Pour donner une impression de légitimité au site, chaque utilisateur reçoit un identifiant et un mot de passe uniques pour y accéder. Ces sites web à vocation professionnelle sont enregistrés auprès de Cloudflare afin de masquer l'emplacement réel du serveur. Une fois connectées, les victimes sont piégées et téléchargent un fichier malveillant. Ce fichier déclenche alors une chaîne complexe d'événements qui infecte leur ordinateur.
Comme le montre le diagramme de recherche du CPR, le fichier téléchargé, une archive ZIP compressée, contient un programme apparemment légitime ( setup.exe ). Ce programme installe et exécute ensuite secrètement d'autres fichiers malveillants, dont une porte dérobée, pour prendre le contrôle du système et communiquer avec les serveurs des attaquants.
À l'intérieur du fichier téléchargé, les pirates ont placé un logiciel malveillant spécial, une variante évoluée d'un ancien logiciel malveillant appelé Minibike (également connu sous le nom de SlugResin). L'activité récente témoigne d'une avancée significative en matière de sophistication avec une nouvelle variante, MiniJunk, qui témoigne des efforts du groupe pour échapper à la détection. Un autre outil, MiniBrowse, est conçu pour voler des données importantes, comme des mots de passe, sans se faire remarquer.
Si Nimbus Manticore cible systématiquement le Moyen-Orient , en particulier Israël et les Émirats arabes unis, son recentrage sur l'Europe constitue une avancée significative. Les chercheurs ont constaté que le groupe est actif dans des pays comme le Danemark, la Suède et le Portugal.
Le rapport souligne également l'existence d'une campagne parallèle, plus simple, où les attaquants se font passer pour des recruteurs RH et contactent généralement leurs victimes sur des plateformes comme LinkedIn avant de les e-mailer. Ce groupe d'activités distinct, déjà signalé par une autre société, PRODAFT, utilise également le spear-phishing avec des outils moins complexes, mais poursuivant le même objectif : voler l'accès.
Bien que Check Point Research continue de suivre les activités du groupe, le cabinet suggère que les entreprises doivent être protégées contre ces types d'attaques dès le début, avant même que les faux e-mails ou les fichiers malveillants puissent atteindre les employés.
HackRead
