Proofpoint, une entreprise américaine de cybersécurité, a révélé qu’un groupe de pirates informatiques anonymes, liés au régime iranien, a utilisé des techniques sophistiquées de tromperie et d’ingénierie sociale pour cibler des universitaires et des experts en politique étrangère aux États-Unis.
Selon les chercheurs de l’entreprise, cette campagne d’attaques, active entre juin et août 2025, représente une évolution du cyberespionnage d’État iranien. Les attaquants ont combiné des techniques d’hameçonnage classiques avec des outils légitimes de gestion à distance pour infiltrer des cibles sensibles.
Proofpoint indique que le groupe a utilisé des sujets politiques liés à l’Iran, notamment les changements sociaux et les recherches sur la militarisation du Corps des gardiens de la révolution islamique (CGRI), comme appâts pour tromper ses victimes.
Les pirates ont envoyé des courriels apparemment anodins contenant de faux liens relatifs à la santé, de faux comptes OnlyOffice (une plateforme de collaboration documentaire) et des outils de gestion à distance.
Les analystes affirment que les tactiques et les outils utilisés ressemblent fortement à ceux de plusieurs groupes connus liés à l’Iran, mais faute de preuves concluantes, Proofpoint a classé cet acteur de manière indépendante.
Les enquêteurs ont découvert que la chaîne d’attaques débutait par une simple conversation et un courriel concernant la situation économique et politique de l’Iran, suivis de tentatives de vol d’identifiants de comptes. Des liens contenant des fichiers d’archive et du code malveillant étaient ensuite envoyés aux victimes, qui installaient un logiciel de gestion à distance sur les machines cibles.
Lors de leur première campagne, en juin 2025, les pirates ont usurpé l’identité d’un membre du personnel de la Brookings Institution et ont contacté plus de 20 chercheurs américains. La technique était similaire à celle employée lors d’attaques précédentes menées par l’un des groupes connus. Les courriels utilisaient le faux nom de « Susan Maloney », présentée comme directrice du programme de politique étrangère de la Brookings Institution (un groupe de réflexion américain).
Les victimes recevaient alors un lien semblant pointer vers OnlyOffice, mais qui redirigeait vers une fausse page de connexion Microsoft hébergée sur un domaine lié à la santé. Après qu’une cible a eu des soupçons concernant la page d’hameçonnage, les attaquants ont modifié la page de connexion et utilisé cette nouvelle version pour poursuivre l’attaque.
Par la suite, des fichiers compressés contenaient des programmes qui lançaient « PDQ Connect » (une application de contrôle à distance). Dans certains cas, un autre outil appelé « ISL Online » était également installé, offrant aux attaquants un accès direct au système de la victime.
Proofpoint a indiqué que la forte similarité des méthodes et de l’infrastructure rend difficile l’attribution formelle à une organisation connue. Néanmoins, l’analyse montre que les tactiques et les cibles de ce nouvel acteur correspondent aux modes opératoires habituels des groupes liés à l’Iran.
Les chercheurs affirment que le ciblage continu des experts en politique étrangère liés à l’Iran demeure une priorité pour les services de renseignement du régime iranien.