Industrie Mag - Le journal de l'industrie.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Check Point Research a découvert de nouvelles opérations menées par Nimbus Manticore, un groupe APT lié à l’État iranien, proche de « UNC1549 » et « Smoke Sandstorm ». Ce groupe bien connu- historiquement concentré sur le Moyen-Orient - porte maintenant son attention vers l’Europe occidentale, avec des campagnes récentes visant des fabricants dans les secteurs de la défense, les télécommunications et les organisations aérospatiales au Danemark, en Suède, et au Portugal. Cette recherche examine en profondeur cet écosystème hautement sophistiqué de phishing ciblé, et de distribution de malwares, incluant de nouveaux outils comme la backdoor "MiniJunk" et l’infostealer "MiniBrowse".
Ingénierie de malwares sur mesure : MiniJunk possède des techniques de chargement latéral de DLL non documentées, utilisant des API de bas niveau –une nouvelle tactique d’évasion très sophistiquée.
Obfuscation en plusieurs étapes : le malware exploite l’obfuscation LLVM au niveau du compilateur, l’insertion de code inutile et l’augmentation de la taille du binaire pour éviter l’analyse statique. Certains des plus gros échantillons analysés n’avaient pas encore été détectés sur VirusTotal.
Phishing ciblé personnalisé : chaque victime reçoit une URL unique et des identifiants vers de faux portails de carrière dans les secteurs de l’aérospatial et de la défense, construits sur des modèles réel (imitant Boeing, Airbus, Rheinmetall, flydubai, etc.), démontrant ainsi une forte sécurité opérationnelle et un prétexte crédible.
Composant voleur : Les variantes MiniBrowse s’injectent dans les navigateurs Chrome ou Edge pour extraire les identifiants stockés et les exfiltrer vers des serveurs de commande et contrôle basés sur Azure.
Changement d’infrastructure : Nimbus Manticore est passé des serveurs classiques à une infrastructure résiliente basée sur le cloud (Azure App Service + Cloudflare) pour la redondance et l’anonymat.
Cette recherche révèle une nouvelle phase dans les opérations de cyberattaques étatiques où l’ingénierie avancée des malwares est combinée avec des services Cloud commerciaux, rendant les campagnes plus furtives et plus difficiles à entraver. L’intérêt pour l’Europe - en particulier pour les secteurs des télécommunications et de la défense - s’aligne avec les priorités de renseignement du CGRI iranien (Corps des Gardiens de la révolution islamique) et peut indiquer une exigence de collecte élargie pour ces centres d’intérêt techniques. Cela souligne également la professionnalisation croissante du savoir-faire des acteurs étatiques iraniens, qui utilisent des secteurs hautement stratégiques pour pénétrer des cibles de haute valeur. Selon Sergey Shykevich, Responsable du Groupe de Renseignement sur les Menaces chez Check Point Software : ""La dernière campagne de Nimbus Manticore signale un changement majeur dans la façon dont les cybercriminels étatiques combinent des malwares sophistiqués et une infrastructure avancée pour opérer contre des cibles sensibles en Europe. Dans l’environnement d’aujourd’hui, une stratégie de sécurité axée sur la prévention et la connaissance des menaces n’est plus optionnelle - c’est la seule façon de garder une longueur d’avance sur des adversaires qui innovent constamment."" Contactez-nous si vous souhaitez une conversation plus approfondie avec Sergey sur cette nouvelle recherche.
