Infy APT : L'acteur de persistance iranienne réapparaît après cinq ans de silence avec de nouvelles activités malveillantes

Lysandre Beauchêne

Selon une récente analyse de chercheurs en sécurité, une menace iranienne connue sous le nom d’Infy, également appelée Prince of Persia, a de nouveau été identifiée après près de cinq ans d’activité discrète. Cette réapparition marque une période de silence inquiétante pour les experts en cybersécurité, alors que l’échelle des activités de ce groupe dépasse largement les prédictions initiales.

L’acteur de persistance iranien Infy : Une menace discrète mais persistante

Origines et historique de l’APT

Infy représente l’un des plus anciens acteurs de persistance avancée (APT) encore actifs aujourd’hui, avec des traces d’opérations remontant à décembre 2004. Cette longévité exceptionnelle dans le paysage des menaces cybernétiques témoigne d’une organisation particulièrement sophistiquée et adaptative. Contrairement à d’autres groupes iraniens tels que Charming Kitten, MuddyWater ou OilRig qui ont attiré une attention considérable, Infy a réussi à maintenir un profil très discret, opérant dans l’ombre pendant la majeure partie de son existence.

“L’ampleur de l’activité du Prince of Persia est plus significative que nous ne le pensions initialement,” a déclaré Tomer Bar, vice-président de la recherche sécurité chez SafeBreach. “Ce groupe de menaces reste actif, pertinent et dangereux.”

Comparaison avec d’autres groupes iraniens

Si de nombreux acteurs iraniens ont fait les manchettes ces dernières années pour leurs campagnes agressives, Infy a adopté une approche différente. Plutôt que de chercher la publicité, ce groupe a développé une expertise dans la persistance à long terme et l’évasion de détection. Sa capacité à rester actif pendant près de deux décennales sans être identifié comme une menace majeure le distingue de nombreux autres APT.

Dans la pratique, les chercheurs observent que les groupes iraniens opèrent souvent selon des modèles différents : certains se concentrent sur le vol de données à grande échelle, d’autres sur le sabotage ou le chantage. Infy semble adopter une approche plus ciblée, privilégiant l’infiltration durable et l’extraction de données spécifiques plutôt que des opérations à visée purement destructive.

Échelle et importance de l’activité

Les dernières analyses révèlent que malgré son apparente discrétion, l’échelle des opérations d’Infy est considérable. Les campagnes récentes ont ciblé des victimes en Iran, en Irak, en Turquie, en Inde, au Canada ainsi que dans divers pays européens. Cette géographie étendue suggère une mission de renseignement stratégique avec des objectifs politiques et économiques déterminés.

Les recherches menées par SafeBreach ont mis en lumière une campagne discrète mais efficace utilisant des versions actualisées de deux familles de malwares : Foudre et Tonnerre. Cette campagne démontre la capacité du groupe à évoluer et à s’adapter aux défis techniques tout en maintenant son efficacité opérationnelle.

Architecture des menaces : Foudre et Tonnerre

Caractéristiques techniques de Foudre

Foudre constitue le premier élément de cette architecture malveillante, agissant comme un téléchargeur et profilage de victimes. Ce malware est conçu pour infiltrer les systèmes, collecter des informations sur l’environnement de la victime, et préparer le terrain pour l’installation d’un deuxième implant. Sa distribution principale se fait par le biais d’emails de phishing, une méthode classique mais toujours efficace.

L’une des caractéristiques notables de Foudre est sa capacité à valider l’authenticité des serveurs de commandement et de contrôle (C2) grâce à un mécanisme de cryptographie RSA. Chaque jour, Foudre télécharge un fichier de signature crypté avec une clé privée RSA par l’acteur de menace, puis utilise une vérification RSA avec une clé publique embarquée pour confirmer que le domaine est approuvé.

Fonctionnalités de Tonnerre

Tonnerre représente le deuxième implant, conçu spécifiquement pour extraire des données des machines à haute valeur. Ce malware est livré par Foudre une fois l’infiltration initiale réussie, et sa fonction principale est l’exfiltration ciblée d’informations sensibles. Les versions les plus récentes de Tonnerre ont été détectées en septembre 2025, démontrant l’activité continue du groupe.

Dans la pratique, Tonnerre est conçu pour opérer discrètement, collectant des données spécifiques selon les instructions reçues via l’infrastructure C2. Sa capacité à s’adapter et à évoluer est démontrée par l’éventail des versions utilisées récemment, allant de la version 12 à la version 50, avec une version 18 particulièrement significative.

Évolution des versions récentes

Les analyses de SafeBreach ont révélé une évolution significative dans les techniques d’Infy, notamment dans la manière dont Foudre est distribué. Alors que les campagnes précédentes utilisaient des fichiers Microsoft Excel contenant des macros malveillantes, les versions récentes ont transitionné vers l’intégration d’exécutables directement dans ces documents.

Cette modification technique représente une adaptation aux défis de sécurité croissants qui rendent l’exécution des macros plus difficile à détecter et à bloquer. En intégrant un exécuble directement dans le document, Infy augmente les chances d’installation réussie de Foudre sur les systèmes cibles.

Les chercheurs ont également identifié l’utilisation d’un algorithme de génération de domaines (DGA) par le groupe, une technique conçue pour renforcer la résilience de leur infrastructure C2. Cette capacité à générer dynamiquement des domaines pour leurs communications rend la détection et le blocage de leurs opérations beaucoup plus difficiles pour les équipes de sécurité.

Méthodes d’attaque et infrastructure C2

Transition des macros Excel vers les exécutables intégrés

L’évolution récente des méthodes d’attaque d’Infy mérite une attention particulière. Alors que pendant des années, le groupe a largement dépendu de documents Microsoft Excel contenant des macros malveillantes pour initier ses campagnes, une transition significative a été observée récemment.

La nouvelle approche consiste à intégrer directement un exécutable dans les documents Excel, plutôt que de se fier à des macros. Cette technique présente plusieurs avantages pour l’attaquant :

  1. Évite les mécanismes de détection basés sur l’analyse des macros
  2. Réduit les risques de blocage par les systèmes de protection contre les macros
  3. Augmente la discrétion de l’infection initiale
  4. Permet une exécution plus directe du payload Foudre

Cette modification technique témoigne de la capacité d’Infy à adapter continuellement ses méthodes face aux défis de sécurité croissants.

Utilisation de l’algorithme de génération de domaines (DGA)

L’utilisation d’un algorithme de génération de domaines (DGA) représente l’un des aspects les plus sophistiqués de l’infrastructure C2 d’Infy. Cette technique permet au groupe de créer dynamiquement des noms de domaine pour ses serveurs de commande et de contrôle, rendant la détection et le blocage de ces communications beaucoup plus difficiles.

Le mécanisme de DGA fonctionne en générant des noms de domaine selon un algorithme spécifique, généralement basé sur des facteurs temporels ou d’autres paramètres variables. Cela signifie que même si un domaine est identifié et bloqué, le groupe peut rapidement générer de nouveaux domaines pour continuer ses opérations sans interruption significative.

Cette technique est particulièrement efficace contre les approches de défense statiques qui reposent sur des listes de domaines malveillants connus. En changeant continuellement leur infrastructure C2, Infy maintient une flexibilité opérationnelle qui leur permet d’éviter la détection à long terme.

Mécanismes de validation de l’infrastructure C2

L’un des aspects les plus sophistiqués de l’approche d’Infy est le système de validation complexe qu’il utilise pour s’assurer que les communications avec son infrastructure C2 sont authentiques. Ce mécanisme repose sur une cryptographie RSA avancée et un protocole de validation spécifique.

Le processus fonctionne comme suit :

  1. Le serveur C2 génère un fichier de signature crypté avec une clé privée RSA
  2. Foudre télécharge ce fichier via une requête au format : ‘https:///key/<jour de l’année>.sig’
  3. Le malware déchiffre le fichier en utilisant une clé publique RSA embarquée
  4. Il compare ensuite cette signature avec un fichier de validation stocké localement
  5. Si les signatures correspondent, la communication est autorisée

Ce système de validation double garantit que même si un attaquant parvient à usurper un domaine, il ne pourra pas communiquer authentiquement avec les implants Foudre et Tonnerre sans la clé privée correspondante.

Communication et exfiltration de données

Utilisation de Telegram pour le contrôle

L’une des découvertes les plus intéressantes concernant les activités récentes d’Infy est l’utilisation de l’application de messagerie Telegram comme canal de communication alternative. La version la plus récente de Tonnerre inclut un mécanisme permettant de contacter un groupe Telegram spécifique nommé “سرافراز” (signifiant “fièrement” en persien).

Ce groupe Telegram comprend deux éléments clés :

  • Un bot Telegram “@ttestro1bot” probablement utilisé pour émettre des commandes et collecter des données
  • Un utilisateur avec le handle “@ehsan8999100”

L’utilisation de Telegram pour le contrôle n’est pas en soi une nouveauté dans le paysage des menaces, mais ce qui la rend notable dans le cas d’Infy est le mécanisme spécifique qu’ils ont développé. Les informations sur le groupe Telegram sont stockées dans un fichier nommé “tga.adr” situé dans un répertoire appelé “t” sur le serveur C2.

De manière significative, le téléchargement de ce fichier “tga.adr” ne peut être déclenché que pour une liste spécifique de GUID de victimes, suggérant une sélection ciblée des systèmes qui sont autorisés à établir cette connexion de secours via Telegram.

Structure des serveurs C2

L’analyse détaillée de l’infrastructure C2 par SafeBreach a révélé une structure organisationnelle remarquablement sophistiquée. Les serveurs C2 d’Infy contiennent plusieurs répertoires spécialisés, chacun avec une fonction distincte :

  • Un répertoire “key” utilisé pour la validation C2, contenant les fichiers de signature nécessaires au mécanisme RSA décrit précédemment
  • Un répertoire pour stocker les journaux de communication
  • Un répertoire dédié aux fichiers exfiltrés
  • Un répertoire “download” dont le but actuel reste inconnu, mais qui est soupçonné d’être utilisé pour télécharger et mettre à niveau vers de nouvelles versions

Cette structure organisée témoigne d’une approche professionnelle et méticuleuse à la gestion de leur infrastructure C2, suggérant une opérateur expérimenté qui a consacré du temps à optimiser leurs processus opérationnels.

Mécanismes d’exfiltration de données

L’exfiltration de données constitue l’objectif final de la majorité des campagnes d’Infy. Leur approche combine des techniques discrètes et efficaces pour maximiser le vol d’informations sensibles tout en minimisant le risque de détection.

Tonnerre, le deuxième implant livré par Foudre, est spécifiquement conçu pour cette tâche. Une fois installé sur un système cible, il collecte divers types d’informations selon les instructions reçues via l’infrastructure C2. Ces données peuvent inclure :

  • Documents sensibles
  • Informations d’identification
  • Données d’entreprise propriétaires
  • Informations d’identification système

Les données collectées sont ensuite exfiltrées via l’infrastructure C2 principale, bien que l’utilisation de Telegram comme canal de secours suggère que le groupe a développé des mécanismes de fallback pour les situations où l’infrastructure principale pourrait être compromise.

Variants de malwares identifiés (2017-2025)

Amaq News Finder

L’un des variants les plus intéressants identifiés par les chercheurs est une version de Foudre camouflée en Amaq News Finder. Amaq est une agence de presse souvent associée à des groupes affiliés à l’Iran, et cette technique de camouflage représente une approche de social engineering particulièrement subtile.

En se faisant passer pour un logiciel de nouvelles, Foudre peut tromper les utilisateurs et encourager son installation ou exécution. Cette méthode exploite la crédibilité potentielle de la marque Amaq pour contourner les défenses naturelles des utilisateurs contre les logiciens non autorisés.

“Malgré l’apparence d’avoir disparu en 2022, les acteurs de menace du Prince de Perse ont fait exactement le contraire,” a déclaré SafeBreach. “Notre campagne de recherche continue sur ce groupe prolifique et évasif a mis en lumière des détails critiques sur leurs activités, leurs serveurs C2 et les variants de malwares identifiés au cours des trois dernières années.”

MaxPinner

Un autre variant notable est une nouvelle version d’un trojan appelé MaxPinner, qui est téléchargé par Foudre version 24 DLL. Ce malware est spécifiquement conçu pour espionner le contenu de Telegram, démontrant une focalisation ciblée sur les communications via cette plateforme populaire.

La capacité de MaxPinner à surveiller les activités Telegram suggère que Infy cible spécifiquement les individus ou organisations qui utilisent intensivement cette application pour leurs communications. Cette surveillance pourrait viser à collecter des informations sensibles, des contacts ou à identifier d’autres cibles potentielles.

Deep Freeze

Les chercheurs ont également identifié une variation de malware appelée Deep Freeze, similaire à Amaq News Finder, utilisée pour infecter les victimes avec Foudre. Bien que les détails techniques spécifiques de Deep Freeze ne soient pas entièrement documentés dans les rapports disponibles, sa similarité avec Amaq News Finder suggère une approche de camouflage similaire.

Cette technique de double camouflage - d’abord en tant que logiciel légitime (Deep Freeze), puis en tant qu’implant (Foudre) - représente une approche de plusieurs couches destinée à maximiser les chances d’installation réussie tout en minimisant les risques de détection pendant la phase initiale d’infiltration.

Rugissement

Enfin, les chercheurs ont identifié un malware inconnu appelé Rugissement, dont les détails techniques restent largement inconnus. La découverte de ce nouvel élément dans l’arsenal d’Infy suggère que le groupe continue de développer et d’expérimenter de nouvelles techniques et familles de malwares.

L’existence de Rugissement, combinée à la diversité des autres variants identifiés, indique une capacité d’innovation et d’adaptation constante de la part d’Infy. Cette polyvalence dans leurs outils techniques leur permet de maintenir leur efficacité opérationnelle malgré les défis croissants de la défense en cybersécurité.

Implications pour la sécurité des entreprises

Menaces spécifiques pour les cibles européennes et moyen-orientales

Les campagnes récentes d’Infy ont démontré une concentration géographique significative, avec des cibles spécifiques en Europe et au Moyen-Orient. Cette focalisation suggère des objectifs stratégiques alignés sur les intérêts politiques ou économiques de l’Iran dans ces régions.

Les entreprises opérant dans ces secteurs et régions devraient être particulièrement vigilantes face aux techniques d’Infy. Les campagnes récentes ont montré une capacité à cibler des organisations de haute valeur avec une persistance remarquable, suggérant que ces acteurs disposent de ressources et d’expertise considérables.

Dans la pratique, cela se traduit par un risque accru d’espionnage industriel, de vol de propriété intellectuelle et d’intrusions à long terme qui peuvent passer inaperçues pendant des mois, voire des années. Les entreprises concernées doivent adopter une approche proactive de la détection et de la réponse aux menaces.

Recommandations de défense

Face à la menace représentée par Infy et d’autres acteurs sophistiqués, les organisations doivent adopter une approche de défense en couches qui combine plusieurs stratégies :

  1. Formation des employés : Renforcer la sensibilisation aux techniques de phishing, en particulier celles qui utilisent des documents Excel avec des exécutables intégrés plutôt que des macros traditionnelles.

  2. Solutions de détection avancées : Mettre en œuvre des systèmes capables de détecter les comportements anormaux plutôt que de se fier uniquement à des signatures de malwares connus.

  3. Segmentation du réseau : Limiter la propagation potentielle des malwares en segmentant le réseau et en appliquant le principe du moindre privilège.

  4. Surveillance des communications sortantes : Mettre en place des systèmes pour détecter et bloquer les communications suspectées vers des infrastructures C2, y compris les domaines générés dynamiquement.

  5. Mises à jour régulières : Maintenir tous les systèmes et applications à jour pour minimiser les surfaces d’attaque exploitables.

Tendances futures des menaces iraniennes

L’analyse des activités d’Infy et d’autres groupes iraniens suggère plusieurs tendances émergentes qui pourraient façonner le paysage des menaces dans les années à venir :

  • Croissance de l’automatisation : Les groupes iraniens continuent d’investir dans l’automatisation de leurs campagnes, permettant des opérations à plus grande échelle avec des ressources humaines réduites.
  • Évolution des techniques de C2 : L’utilisation de plateformes grand public comme Telegram pour les communications de secours pourrait devenir plus courante, nécessitant de nouvelles approches de détection.
  • Focus sur l’évasion de détection : À mesure que les défenses s’améliorent, les groupes de menaces comme Infy continueront de développer des techniques plus sophistiquées pour éviter la détection.
  • Collaboration intergroupes : Bien que les groupes restent distincts, une certaine collaboration dans le partage d’outils et de techniques pourrait émerger.

Conclusion : Vigilance renforcée requise

La réapparition de l’APT Infy après cinq ans de relative discrétion constitue un signal d’alarme important pour la communauté de la cybersécurité. Cette démonstration de persistance et d’adaptation témoigne d’une menace qui ne doit pas être sous-estimée.

Les organisations, en particulier celles opérant dans les secteurs critiques et les régions géographiques ciblées par Infy, doivent revoir leurs postures de sécurité pour faire face à ce type d’acteur sophistiqué. La combinaison de techniques avancées, d’une infrastructure C2 résiliente et d’une approche méticuleuse rend cette particulièrement difficile à détecter et à contrer.

“Les récentes fuites de Charming Kitten ont peint le portrait d’un groupe de hackers fonctionnant plus comme un département gouvernemental, tout en menant ‘des opérations d’espionnage avec une précision de bureau,’” a observé une analyse récente. “L’acteur de menace a également été démasqué comme étant derrière la persona Moses Staff.”

Face à cette évolution continue du paysage des menaces, les professionnels de la cybersécurité doivent adopter une approche proactive et continue de la détection, de l’analyse et de la réponse. La vigilance doit être constante, et les défenses doivent évoluer aussi rapidement que les menaces elles-mêmes.

En 2025 et au-delà, la lutte contre des acteurs comme Infy nécessitera une collaboration accrue entre le secteur privé, le gouvernement et la communauté de la recherche en sécurité, ainsi qu’un investissement continu dans les technologies et les compétences de pointe de la cybersécurité.