Autrefois considéré comme inactif, le groupe menaçant a été très actif dans l’évolution de ses techniques et de ses outils, avec des logiciels malveillants mis à jour pour la reconnaissance et l’exfiltration de données.
Les chercheurs ont découvert une nouvelle activité d’un acteur menaçant surnommé Prince of Persia, soupçonné d’être lié au gouvernement iranien. Le groupe semble être devenu inactif en 2022 après que plusieurs sociétés de sécurité ont documenté ses opérations et paralysé son infrastructure de commandement et de contrôle, mais de nouvelles preuves montrent que les attaquants se sont réorganisés et ont continué à cibler de nouvelles victimes sous le radar.
Prince of Persia, également connu sous le nom d’Infy d’après le nom de son malware d’origine, existe depuis près de 20 ans. Les chercheurs ont noté des liens probables avec l’Iran sur la base de la sélection des cibles du groupe et d’autres facteurs. Les victimes avaient déjà été identifiées dans 35 pays et figuraient des dissidents iraniens et des cibles gouvernementales d’Europe et d’ailleurs.
La première entreprise à documenter en détail les attaques et les outils malveillants du groupe a été Palo Alto Networks en 2016. La même année, la société a exécuté avec succès une opération de retrait qui impliquait la destruction des serveurs de commande et de contrôle du groupe. Cependant, le groupe est revenu un an plus tard avec de nouvelles variantes de malware baptisées Foudre et Tonnerre – éclairage et tonnerre en français.
« Malgré l’apparence d’une disparition en 2022, les acteurs de la menace Prince of Persia ont fait tout le contraire », ont déclaré des chercheurs de la société de sécurité SafeBreach dans un nouveau rapport. « Notre campagne de recherche en cours sur ce groupe prolifique et insaisissable a mis en évidence des détails critiques sur leurs activités, leurs serveurs C2 et a identifié des variantes de logiciels malveillants au cours des trois dernières années. Ce groupe de menaces est toujours actif, pertinent et dangereux. »
Modifications dans la distribution des logiciels malveillants et l’infrastructure C2
Lorsque le groupe est tombé hors des radars en 2022, la dernière version connue de Foudre était la v27 et pour Tonnerre c’était la v15. Aujourd’hui, les versions les plus récentes récupérées par les chercheurs sont Foudre v34 et Tonnerre v17, qui comportent toutes deux des modifications significatives.
Foudre est un malware de première étape utilisé pour la reconnaissance et l’identification des victimes. Si une cible est jugée suffisamment importante, le cheval de Troie Tonnerre est déployé pour l’exfiltration de données et la surveillance.
Foudre était autrefois distribué via des macros malveillantes intégrées dans des documents Microsoft Office envoyés en pièces jointes dans des e-mails de phishing sur des sujets intéressant leurs cibles. La dernière version est livrée sous forme de fichier Excel avec un exécutable malveillant intégré qui n’est détecté par aucun moteur antivirus sur VirusTotal.
L’exécutable intégré est un fichier d’archive auto-extractible (SFX) qui contient une DLL malveillante et un fichier vidéo MP4 leurre. Des fichiers Excel contenant des macros malveillantes continuent d’être utilisés et tentent d’exécuter un fichier appelé ccupdate.tmp.
Une différence majeure par rapport aux versions précédentes est le passage à un nouvel algorithme de génération de domaine (DGA) grâce auquel le malware détermine sur quels noms de domaine il trouvera le serveur de commande et de contrôle. Tonnerre v17 utilise le même DGA avec un préfixe de clé différent, ce qui signifie que les domaines qu’il générera pour C2 seront différents.
Les chercheurs de SafeBreach ont réussi à identifier de nombreux serveurs C2 et à en extraire des données. Certains serveurs ont été utilisés à des fins de tests tandis que d’autres ont collecté des données auprès de véritables victimes.
« La plupart des victimes se trouvaient en Iran, mais il y en avait quelques-unes en Europe et dans des pays comme l’Irak, la Turquie, l’Inde et le Canada », ont indiqué les chercheurs. « Bien que nous ayons choisi de ne pas publier les données ici pour des raisons de confidentialité, nous sommes plus que disposés à partager les données avec les forces de l’ordre autorisées. »
Le suivi des campagnes du groupe est difficile car les attaquants changent assez souvent de serveur C2 et émettent des commandes pour supprimer les malwares des systèmes des victimes qui ne les intéressent plus.
Un passage à Telegram
Plus récemment, les chercheurs ont identifié une nouvelle variante de Tonnerre annoncée sous le nom de v50, ainsi qu’une nouvelle version inconnue de Foudre qui l’accompagne. Ces versions utilisent une nouvelle structure de serveur C2 et, surtout, peuvent télécharger un fichier depuis le serveur qui permet la communication Telegram via son API.
La fonctionnalité Telegram n’est activée que pour un nombre sélectionné de victimes, mais les chercheurs ont réussi à utiliser l’API pour interroger le canal Telegram configuré. Il comptait deux membres, dont un robot de canal et un utilisateur nommé Ehsan écrit en farsi, qui pourrait être l’un des pirates informatiques chargés de contrôler le malware et dont la dernière activité remonte au 13 décembre.
« Ehsan est un nom persan commun typique d’un Iranien », ont indiqué les chercheurs. « Cette attribution est assez forte en combinaison avec l’emplacement IP de la machine de test de l’attaquant. Nous avons suivi les adresses IP utilisées pendant plusieurs années, qui indiquaient toutes l’Iran comme emplacement. Alors que différentes bases de données de localisation IP fournissaient différentes villes, elles se trouvaient toutes en Iran. «
Les chercheurs ont également découvert d’autres échantillons de logiciels malveillants et de charges utiles utilisés dans les campagnes antérieures à 2022, notamment des signes d’une famille de logiciels malveillants supplémentaire appelée Rugissement (rugissement en français), une version plus récente de MaxPinner, un cheval de Troie basé sur Telegram utilisé par le groupe en 2021, ainsi que divers fichiers binaires de chevaux de Troie utilisés pour distribuer le logiciel malveillant.
Le rapport comprend des détails sur les nouveaux algorithmes de la DGA ainsi que des indicateurs de compromission et des échantillons de hachage dans l’espoir d’aider d’autres entreprises et chercheurs à suivre les activités de ce groupe insaisissable à l’avenir.
