Le groupe malveillant BladedFeline, lié à l’Iran, a récemment ciblé des responsables gouvernementaux kurdes et irakiens lors d’une campagne de cyber-espionnage, selon une récente découverte d’un éditeur de logiciels de sécurité. Le groupe a déployé divers outils malveillants découverts dans les systèmes compromis, démontrant une volonté constante de maintenir et d’élargir l’accès à de hauts responsables et à des organisations gouvernementales en Irak et dans la région kurde.
Cette nouvelle campagne souligne l’évolution des capacités de BladedFeline, avec des outils de tunneling (Laret et Pinar), divers outils supplémentaires, une porte dérobée personnalisée Whisper et un module malveillant de services Internet (IIS) PrimeCache, tous deux identifiés par l’entreprise ESET.
Whisper se connecte à un compte web compromis sur un serveur Microsoft Exchange et l’utilise pour communiquer avec les attaquants via des pièces jointes. PrimeCache fait aussi office de porte dérobée. C’est un module IIS malveillant qui présente des similitudes avec la porte dérobée RDAT utilisée par le groupe APT OilRig (Advanced Persistent Threat). Il n’aurait aucune incidence sur les systèmes Linux.
Sur base de ces codes similaires ainsi que d’autres éléments présentés ici, l’éditeur ESET estime que BladedFeline est fort probablement un sous-groupe d’OilRig, un groupe APT pro-iranien ciblant des gouvernements et des entreprises au Moyen-Orient. Les premiers implants de la dernière campagne remontent à OilRig. Ces outils illustrent la stratégie du groupe axée sur la persistance et la furtivité au sein des réseaux ciblés.
BladedFeline a travaillé sans relâche pour maintenir un accès illicite aux diplomates kurdes, tout en exploitant simultanément un fournisseur régional de télécommunications en Ouzbékistan et en développant et en maintenant l’accès aux responsables du gouvernement irakien.
Pour les chercheurs, BladedFeline cible les gouvernements kurde et irakien à des fins de cyber-espionnage, dans le but de maintenir un accès stratégique aux ordinateurs de hauts fonctionnaires des deux gouvernements. Les relations diplomatiques du Kurdistan avec les pays occidentaux, combinées aux réserves pétrolières de la région, en font une cible de choix pour les acteurs malveillants pro-iraniens, qui cherchent à l’espionner et à la manipuler. En Irak, ces acteurs cherchent vraisemblablement à contrer l’influence des gouvernements occidentaux depuis l’invasion et l’occupation du pays par les États-Unis.
