Groupe APT Iranien Infy : Retour en Force avec de Nouvelles Activités Malveillances Après Cinq Ans de Silence
Théophane Villedieu
Les chasseurs de menaces ont détecté de nouvelles activités associées à un acteur de menace iranien connu sous le nom d’Infy (également appelé Prince de Perse), près de cinq ans après que ce groupe de pirates informatiques a été observé ciblant des victimes en Suède, aux Pays-Bas et en Turquie. L’échelle des activités du Prince de Perse est plus significative que nous ne l’anticipions initialement, a déclaré Tomer Bar, vice-président de la recherche en sécurité chez SafeBreach. Cette réapparition soudaine de l’un des plus anciens groupes d’attaques persistantes avancées (APT) soulève de sérieuses questions sur les stratégies de cyber-espionnage moderne et les menaces persistantes qui pèsent sur les organisations à travers le monde.
Historique et Évolution du Groupe APT Infy
Origines et Premières Activités
Infy figure parmi les acteurs d’APT les plus anciens encore en activité, avec des preuves d’activités remontant aussi loin que décembre 2004, selon un rapport publié par Palo Alto Networks Unit 42 en mai 2016 et co-rédigé par Tomer Bar et le chercheur Simon Conant. Cette longévité exceptionnelle dans le paysage des menaces cybernétiques témoigne de la persévérance et de l’adaptabilité remarquables de ce groupe.
Ce qui distingue particulièrement Infy de ses homologues iraniens tels que Charming Kitten, MuddyWater et OilRig, c’est son apparente discrétion. Contrairement à ces groupes qui ont attiré une attention considérable de la communauté de cybersécurité, Infy a réussi à rester relativement elusive, passant souvent inaperçu malgré des activités s’étalant sur près de deux décennies.
“Malgré l’apparence d’avoir disparu en 2022, les acteurs de menace du Prince de Perse ont fait exactement le contraire”, a déclaré SafeBreach. “Notre campagne de recherche continue sur ce groupe prolifique et elusive a mis en lumière des détails critiques sur leurs activités, leurs serveurs C2 et les variants de malware identifiés au cours des trois dernières années.”
Caractéristiques Distinctives du Groupe
Les attaques menées par Infy se sont distinguées par l’utilisation prédominante de deux souches de malware : un téléchargeur et profil de victime nommé Foudre qui livre un implant de deuxième étape appelé Tonnerre pour extraire des données de machines à haute valeur. Il est établi que Foudre est distribué via des e-mails de phishing, une méthode classique mais toujours efficace pour compromettre les systèmes.
La campagne la plus récente découverte par SafeBreach a ciblé des victimes à travers l’Iran, l’Irak, la Turquie, l’Inde et le Canada, ainsi que dans divers pays européens. Cette campagne a utilisé des versions mises à jour de Foudre (version 34) et de Tonnerre (versions 12-18, 50), la dernière version de Tonnerre ayant été détectée en septembre 2025.
Campagne de Malware Récente : Méthodes et Techniques
Évolution des Outils d’Attaque
Les chaînes d’attaque du groupe ont également évolué, passant d’un fichier Microsoft Excel contenant des macros à l’intégration d’un exécutable directement dans de tels documents pour installer Foudre. Cette modification tactique suggère une adaptation aux défenses de sécurité qui ont peut-être amélioré la détection des macros malveillantes traditionnelles.
L’aspect le plus notable du mode opératoire de cet acteur de menace est l’utilisation d’un algorithme de génération de domaine (DGA) pour rendre son infrastructure de commande et de contrôle (C2) plus résiliente. Cette technique permet au groupe de changer dynamiquement les domaines C2, compliquant ainsi les tentatives de blocage par les équipes de sécurité.
En outre, les artefacts Foudre et Tonnerre sont connus pour valider si le domaine C2 est authentique en téléchargeant un fichier de signature RSA, que le malware déchiffre ensuite à l’aide d’une clé publique et compare à un fichier de validation stocké localement.
Infrastructures de Commande et de Contrôle (C2)
L’analyse de l’infrastructure C2 par SafeBreve a révélé un répertoire nommé “key” utilisé pour la validation C2, ainsi que d’autres dossiers pour stocker les journaux de communication et les fichiers exfiltrés. Le mécanisme de validation est particulièrement sophistiqué :
“Chaque jour, Foudre télécharge un fichier de signature dédié chiffré avec une clé privée RSA par l’acteur de menace, puis utilise une vérification RSA avec une clé publique intégrée pour vérifier que ce domaine est un domaine approuvé”, a expliqué Bar. “Le format de la requête est : ‘https://
/key/ <jour de l’année>.sig.’”
L’infrastructure C2 comprend également un répertoire “download” dont l’actuel objectif est inconnu, mais qui est suspecté d’être utilisé pour télécharger et mettre à niveau vers une nouvelle version du malware. Cette capacité d’auto-mise à jour est particulièrement inquiétante, car elle permet au groupe d’anticiper les défenses de sécurité qui pourraient être développées contre ses outils existants.
Analyse Technique des Malwares Foudre et Tonnerre
Fonctionnalités et Capacités de Foudre
Foudre, en tant que téléchargeur et profil de victime, joue un rôle crucial dans la chaîne d’attaque d’Infy. Sa capacité à analyser l’environnement de la victime avant de déployer le payload final (Tonnerre) permet au groupe d’optimiser ses efforts d’espionnage en se concentrant sur les systèmes les plus pertinents.
Les chercheurs ont également identifié d’autres variants plus anciens utilisés dans les campagnes Foudre entre 2017 et 2020 :
- Une version de Foudre déguisée en Amaq News Finder pour télécharger et exécuter le malware
- Une nouvelle version d’un trojan appelé MaxPinner, téléchargé par la DLL Foudre version 24 pour espionner le contenu de Telegram
- Une variation de malware appelée Deep Freeze, similaire à Amaq News Finder, utilisée pour infecter les victimes avec Foudre
- Un malware inconnu appelé Rugissement
Ces variants témoignent de l’évolution constante des outils du groupe et de sa capacité à adapter ses tactiques aux défenses de sécurité émergentes.
Évolutions de Tonnerre et Communications Telegram
La dernière version de Tonnerre inclut un mécanisme pour contacter un groupe Telegram (nommé “سرافراز”, signifiant “fièrement” en persan) via le serveur C2. Le groupe comprend deux membres : un bot Telegram “@ttestro1bot” probablement utilisé pour émettre des commandes et collecter des données, et un utilisateur avec le handle “@ehsan8999100”.
Bien que l’utilisation de l’application de messagerie pour les communications C2 ne soit pas rare, ce qui est notable, c’est que les informations sur le groupe Telegram sont stockées dans un fichier nommé “tga.adr” au sein d’un répertoire appelé “t” sur le serveur C2. Il est à noter que le téléchargement du fichier “tga.adr” ne peut être déclenché que pour une liste spécifique de GUID de victimes.
Cette utilisation ciblée de Telegram pour la commande et le contrôle représente une adaptation aux tendances modernes de communication et démonte la capacité du groupe à intégrer des plateformes populaires dans son infrastructure malveillante.
Implications pour la Sécurité des Entreprises
Menaces pour les Organisations Ciblées
La réapparition d’Infy avec des techniques mises à jour présente des menaces significatives pour les organisations, particulièrement dans les secteurs politiques, militaires et économiques. La capacité du groupe à rester actif pendant près de deux décennies suggère des ressources substantielles et une expertise technique considérable.
La diversité des pays ciblés - de l’Iran et de l’Irak à l’Inde, au Canada et en Europe - indique une portée opérationnelle étendue et des objectifs variés. Les organisations opérant dans ces régions ou ayant des liens avec elles doivent être particulièrement vigilantes.
Selon les analystes de cybersécurité, les groupes d’APT étatiques comme Infy représentent l’une des menaces les plus persistantes et les plus sophistiquées pour la sécurité des entreprises en 2025. Leur capacité à s’adapter et à évoluer face aux défenses de sécurité en place les rend particulièrement dangereux.
Recommandations de Protection
Face à cette menace émergente, les organisations doivent adopter une approche proactive de la cybersécurité. Voici les mesures essentielles à mettre en œuvre :
Sensibilisation renforcée au phishing : Former les employés à reconnaître les tentatives de phishing sophistiquées, en particulier les documents Office contenant des exécutables plutôt que des macros.
Surveillance avancée du trafic réseau : Mettre en place des systèmes capables de détecter les communications anormales avec des infrastructures C2, y compris celles utilisant des algorithmes de génération de domaine.
Mises à jour et correctifs réguliers : Maintenir tous les systèmes et applications à jour pour réduire les surfaces d’attaque potentielles.
Segmentation du réseau : Limiter la propagation d’un éventuel compromis en isolant les segments réseau critiques.
Détection des comportements anormaux : Implémenter des solutions de détection des intrusions basées sur le comportement pour identifier les activités malveillantes même si les signatures spécifiques ne sont pas connues.
Le tableau suivant présente un comparatif des différentes versions de malware identifiées chez Infy :
| Version de Malware | Période d’Activité | Caractéristiques Principales | Méthode de Distribution |
|---|---|---|---|
| Foudre v34 | 2025 | Téléchargeur et profil de victime | E-mails avec exécutable dans documents Office |
| Tonnerre v12-18, v50 | 2025 | Exfiltration de données | Déployé par Foudre |
| Foudre (variant Amaq) | 2017-2020 | Téléchargement dissimulé | Phishing |
| MaxPinner | 2017-2020 | Espionnage de Telegram | Téléchargé par DLL Foudre v24 |
| Deep Freeze | 2017-2020 | Infection secondaire | Phishing similaire à Amaq |
Conclusion : Vigilance Nécessaire Face à cette Menace Émergente
La réapparition du groupe APT Infy après près de cinq ans de relative discrétion constitue un rappel poignant de la persistance et de l’adaptabilité des acteurs de menace étatiques. L’utilisation de techniques sophistiquées comme les algorithmes de génération de domaine et l’intégration de plateformes de communication populaires comme Telegram dans leur infrastructure C2 démontre une évolution constante de leurs tactiques.
Pour les organisations, cette menace met en lumière l’importance cruciale d’une approche proactive et holistique de la cybersécurité. La simple mise en place de défenses périmétriques n’est plus suffisante face à des adversaires aussi déterminés et bien équipés. La vigilance doit être constante, et les stratégies de sécurité doivent évoluer aussi rapidement que les menaces elles-mêmes.
En pratique, les organisations doivent investir dans des capacités avancées de détection et de réponse, former leur personnel aux risques émergents, et maintenir une posture de sécurité défensive résiliente. La collaboration avec les acteurs de la cybersécurité et le partage d’informations sur les menaces sont également essentiels pour contrer efficacement des groupes comme Infy.
“La menace persiste et continue d’évoluer”, avertit Tomer Bar. “Les organisations ne peuvent pas se permettre de baisser leur garde. La sécurité est un processus continu, pas un état final.”
Alors que le paysage des menaces cybernétiques continue de se complexifier, la vigilance et la préparation resteront les meilleures défenses contre des acteurs de menace comme le groupe APT Infy.