Infy APT : L'iranien Prince of Persia revient avec une nouvelle campagne après cinq ans de silence

Célestine Rochefour

Selon les chercheurs en sécurité, une nouvelle activité a été détectée associée à un acteur de menace iranien connu sous le nom d’Infy (alias Prince of Persia), près de cinq ans après que ce groupe de pirates avait été observé en train de cibler des victimes en Suède, aux Pays-Bas et en Turquie. La réapparition de ce groupe sophistiqué soulève des questions sur l’évolution tactique des menaces persistantes avancées (APT) et leur capacité à rester indétectables pendant de longues périodes.

Historique et évolution de l’APT Infy

Origines et premières activités

L’APT Infy, également connu sous le nom de Prince of Persia, représente l’un des acteurs de menaces persistantes avancées les plus anciens en existence, avec des preuves d’activité remontant à décembre 2004. Cette longévité exceptionnelle dans le paysage des cybermenaces témoigne d’une organisation remarquablement structurée et adaptable. Contrairement à d’autres groupes iraniens tels que Charming Kitten, MuddyWater et OilRig qui ont attiré une attention considérable, Infy a réussi à rester relativement elusive, opérant dans l’ombre pendant des années.

Le groupe a initialement attiré l’attention en ciblant des institutions gouvernementales et des entreprises dans plusieurs pays européens. Sa capacité à persister dans le temps sans être détecté pendant de longues périodes suggère une expertise technique et une discipline opérationnelle impressionnantes. La récente campagne de ce groupe démontre qu’il a non seulement survécu, mais a également continué d’évoluer et de perfectionner ses techniques d’infection.

Modus operandi historique

L’approche d’Infy a caractéristiquement impliqué l’utilisation de deux familles de malwares complémentaires : un téléchargeur et profil de victime nommé Foudre, et un implant de deuxième étape appelé Tonnerre. Cette approche en deux étapes permet au groupe d’établir une présence discrète sur les systèmes compromis avant de déployer des fonctionnalités plus avancées pour l’extraction de données à partir de machines à haute valeur.

Dans la pratique, Foudre est distribué principalement via des e-mails de phishing ciblés, une méthode qui reste l’un des vecteurs d’attaque les plus efficaces malgré les avancées continues dans la sécurité des e-mails. Le groupe a montré une capacité à adapter ses techniques d’infection en fonction des défenses rencontrées, passant de l’utilisation de macros Microsoft Excel à l’intégration d’exécutables directement dans ces documents pour installer Foudre.

Les campagnes récentes de l’APT Infy

Les cibles géographiques actuelles

L’analyse menée par SafeBreach a révélé une campagne discrète qui a ciblé des victimes en Iran, en Irak, en Turquie, en Inde, au Canada ainsi que dans plusieurs pays européens. Cette géographie de cibles suggère un ensemble d’objectifs stratégiques allant de la surveillance locale dans la région Moyen-Orient et Afrique du Nord (MENA) à des cibles plus internationales potentiellement sensibles.

La réactivation de ce groupe après une période de relative inactivité pourrait indiquer une augmentation des besoins en renseignement pour l’Iran ou une opportunité stratégique liée à des tensions géopolitiques actuelles. La diversité des cibles géographiques démontre également une capacité d’adaptation du groupe à opérer dans différents contextes politiques et réglementaires.

Les techniques d’infection modernisées

L’une des évolutions les plus significatives dans la récente campagne d’Infy est l’utilisation de versions actualisées de ses malwares. Les chercheurs ont identifié Foudre version 34 et plusieurs variantes de Tonnerre (versions 12 à 18, ainsi que la version 50), cette dernière ayant été détectée aussi récemment que septembre 2025. Ces mises à jour constantes témoignent d’un effort continu pour contourner les défenses de sécurité qui se sont améliorées au fil du temps.

La transition vers l’utilisation d’exécutables plutôt que de macros dans les documents Excel représente une adaptation intelligente aux restrictions de sécurité renforcées qui empêchent l’exécution automatique des macros. Cette modification technique a permis au groupe de maintenir son taux de succès d’infection malgré les défenses de plus en plus sophistiquées mises en place par les organisations.

L’écosystème malveillant : Foudre et Tonnerre

Analyse technique du malware Foudre

Foudre opère comme un téléchargeur initial et un profil de victime, conçu pour recueillir des informations sur l’environnement infecté avant de déployer l’implant principal. Ce malware utilise une approche méthodique pour s’assurer que la victime est appropriée avant de poursuivre l’infection, réalisant un compromis plus efficace pour l’acteur de menace.

Une caractéristique particulièrement sophistiquée de Foudre est son mécanisme de validation de l’infrastructure de commandement et de contrôle (C2). Le malware télécharge un fichier de signature crypté avec une clé RSA privée par l’acteur de menace, puis utilise une vérification RSA avec une clé publique embarquée pour confirmer que le domaine est un domaine approuvé. Cette approche double de validation ajoute une couche de sécurité supplémentaire à l’infrastructure C2, la rendant plus résiliente aux tentatives de détection ou de prise de contrôle par des défenseurs.

« L’échelle de l’activité de Prince of Persia est plus significative que nous ne le pensions initialement », a déclaré Tomer Bar, vice-président de la recherche en sécurité chez SafeBreach. « Ce groupe de menaces reste actif, pertinent et dangereux. »

Fonctionnalités et évolutions de Tonnerre

Tonnerre, l’implant de deuxième étape déployé par Foudre, offre des capacités d’extraction de données plus avancées. Ce malware est conçu pour opérer de manière persistante sur les machines compromises, collectant et exfiltrant des informations sensibles tout en évitant la détection.

La version la plus récente de Tonnerre intègre un mécanisme de contact avec un groupe Telegram nommé « سرافراز » (qui signifie « fièrement » en persan) via le serveur C2. Ce groupe contient deux membres : un bot Telegram « @ttestro1bot » probablement utilisé pour émettre des commandes et collecter des données, et un utilisateur avec le pseudo « @ehsan8999100 ». Bien que l’utilisation d’applications de messagerie pour les communications C2 ne soit pas rare, ce qui est notable ici, c’est que les informations sur le groupe Telegram sont stockées dans un fichier nommé « tga.adr » dans un répertoire appelé « t » sur le serveur C2.

L’intégration de plateformes de communication grand public comme Telegram dans les infrastructures d’APT représente une tendance inquiétante dans le paysage des menaces. Cela permet aux acteurs de menace d’utiliser des infrastructures existantes et difficiles à bloquer tout en réduisant les coûts de maintenance de leurs propres serveurs C2.

Infrastructure de commandement et de contrôle innovante

L’utilisation des domaines générés aléatoirement (DGA)

L’un des aspects les plus notables du mode opératoire de l’acteur de menace est l’utilisation d’un algorithme de génération de domaine (DGA) pour rendre son infrastructure C2 plus résiliente. Les DGAs génèrent dynamiquement des noms de domaine à intervalles réguliers, ce qui permet au groupe de changer fréquemment ses points de contact C2 sans avoir à configurer manuellement de nouveaux domaines.

Cette technique complique considérablement les efforts des défenseurs qui tentent d’identifier et de bloquer les communications malveillantes, car chaque période d’activité peut impliquer des dizaines ou des centaines de domaines différents. L’utilisation de DGAs a été observée dans de nombreuses familles de malwares sophistiquées, mais la mise en œuvre par Infy semble particulièrement bien adaptée à leurs besoins opérationnels.

L’analyse de l’infrastructure C2 par SafeBreach a révélé un répertoire nommé « key » utilisé pour la validation C2, ainsi que d’autres dossiers pour stocker les journaux de communication et les fichiers exfiltrés. Cette organisation structurée indique une approche professionnelle de la gestion de l’infrastructure malveillante.

L’intégration de Telegram dans la C2

L’intégration de Telegram dans l’infrastructure C2 représente une évolution significative dans les tactiques d’Infy. Le mécanisme de Tonnerre pour contacter le groupe Telegram suit un processus spécifique :

  1. Le malware contacte d’abord le serveur C2 traditionnel
  2. Il télécharge le fichier « tga.adr » contenant les informations du groupe Telegram
  3. Il établit ensuite une communication avec le groupe spécifique

Ce processus en deux étapes permet au groupe de maintenir une certaine redondance dans son infrastructure de communication. Si l’un des canaux est compromis ou bloqué, l’autre peut potentiellement être utilisé pour maintenir le contact avec les machines infectées.

Le téléchargement du fichier « tga.adr » ne peut être déclenché que pour une liste spécifique d’GUID de victimes, ce qui suggère que le groupe utilise une segmentation fine de ses opérations, en accordant un accès à Telegram uniquement aux victimes qui nécessitent une communication plus directe ou des commandes spécifiques.

Implications pour la sécurité des entreprises

Détection et prévention

La réapparition de l’APT Infy soulève des questions importantes concernant la détection et la prévention des menaces persistantes avancées. Les organisations doivent adopter une approche multicouche de la sécurité pour contrer des acteurs de menace aussi sophistiqués et persistants.

Mesures de détection recommandées :

  • Surveillance du trafic réseau sortant anormal
  • Analyse comportementale des processus pour détecter les activités suspectes
  • Utilisation de sandboxing pour examiner les fichiers suspects
  • Détection des communications avec des domaines générés par DGA
  • Surveillance des tentatives d’accès à des plateformes de communication grand public

La conformité avec des cadres de sécurité tels que ISO 27001 peut aider les organisations à établir des défenses robustes contre les menaces persistantes. L’ANSSI recommande également la mise en œuvre de mesures de segmentation réseau strictes pour limiter la propagation des compromissions.

Recommandations de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié plusieurs directives pour aider les organisations à se protéger contre les menaces d’origine étatique comme l’APT Infy. Ces recommandations incluent :

  1. Maintenir les systèmes à jour : Appliquer rapidement les correctifs de sécurité pour réduire la surface d’attaque
  2. Former les utilisateurs : Sensibiliser aux techniques de phishing et aux manipulations sociales
  3. Implémenter l’authentification multifactorielle : Ajouter une couche de sécurité supplémentaire aux comptes sensibles
  4. Surveiller les activités suspectes : Mettre en place des systèmes de détection d’intrusion et de réponse aux menaces
  5. Établir un plan de réponse aux incidents : Préparer des procédures claires pour faire face aux compromissions

Ces mesures, bien que fondamentales, constituent une base essentielle pour la défense contre des acteurs de menace sophistiqués comme Infy. La combinaison de la technologie, des processus et de la sensibilisation des utilisateurs est cruciale pour créer une défense holistique.

Tableau comparatif des versions récentes de Foudre et Tonnerre

CaractéristiqueFoudre v34Tonnerre v50
Date de détectionDécembre 2025Septembre 2025
Méthode de distributionPhishing avec exécutable intégréDéployé par Foudre v34
Fonction principaleTéléchargement et profilage de victimeExtraction de données persistante
Mécanisme de validationTéléchargement de signature RSAIntégration Telegram via C2
Cibles spécifiquesNon identifiéesMachines à haute valeur
Techniques d’évasionObfuscation de codeChiffrement des communications

Conclusion : rester vigilant face à cette menace persistante

La réactivation de l’APT Infy après près de cinq ans de silence démontre la nature persistante et adaptative des menaces cybernétiques d’origine étatique. Ce groupe, l’un des plus anciens APT en existence, a évolué pour continuer à représenter une menace significative pour les organisations à travers le monde.

Les implications de cette campagne récente vont au-delà des techniques d’infection spécifiques. Elles soulèvent des questions plus larges sur la nature de la cyberguerre moderne et la manière dont les acteurs étatiques continuent d’adapter leurs tactiques pour contourner les défenses de sécurité.

Pour les organisations, la leçon clé est qu’aucune défense n’est infaillible. La combinaison de la technologie, des processus robustes et de la sensibilisation des utilisateurs est essentielle pour atténuer les risques posés par des acteurs de menace aussi sophistiqués. La surveillance continue des menaces émergentes et l’adaptation rapide des défenses sont également cruciales dans ce paysage en constante évolution.

Alors que l’APT Infy continue d’évoluer, les défenseurs doivent également s’adapter et anticiper les prochaines étapes de ce groupe persistant. La collaboration entre les chercheurs en sécurité, les entreprises et les agences gouvernementales comme l’ANSSI sera essentielle pour contrer efficacement cette menace et protéger les informations sensibles des organisations.

« Malgré l’apparence d’avoir disparu en 2022, les acteurs de menace Prince of Persia ont fait exactement le contraire », a déclaré SafeBreach. « Notre campagne de recherche en cours sur ce groupe prolifique et elusive a mis en évidence des détails critiques sur leurs activités, leurs serveurs C2 et les variantes de malwares identifiés au cours des trois dernières années. »

La vigilance et la préparation restent les meilleures défenses contre des acteurs de menace comme l’APT Infy. En comprenant leurs tactiques, techniques et procédures (TTP), les organisations peuvent mieux se positionner pour détecter et contrer les campagnes de ce groupe persistant.