APT iranien Infy : retour en force du groupe de menace le plus discret après 5 ans de silence

Selon les dernières analyses des chercheurs en cybersécurité, un groupe de menace iranien connu sous le nom d’APT Infy, également appelé Prince of Persia, a récemment repris ses activités après presque cinq ans de silence. Cette réapparition inquiète les experts qui considèrent ce groupe comme l’un des plus anciens et des plus discrets du paysage des menaces persistantes avancées.

L’évolution constante des tactiques de cyberattaque rend la surveillance de ces groupes de menace essentielle pour les organisations cherchant à protéger leurs systèmes sensibles. La récente campagne de l’APT Infy démontre que même les acteurs les plus discrets peuvent revenir en force avec des techniques mises à jour, représentant une menace significative pour les cibles stratégiques à travers le monde.

Origines et historique du groupe Infy

L’APT iranien Infy fait partie des groupes de menace les plus anciens encore actifs dans le cyberespace. Les premières traces de leurs activités remontent à décembre 2004, ce qui en fait l’un des rares groupes APT avec près de deux décennies d’opérations continues. Cette longévité témoigne de la résilience et de l’adaptation remarquables de ce groupe face aux évolutions du paysage de la cybersécurité.

« L’échelle des activités de Prince of Persia est plus significative que nous ne le pensions initialement », a déclaré Tomer Bar, vice-président de la recherche en sécurité chez SafeBreach. « Ce groupe de menace reste actif, pertinent et dangereux. »

Contrairement à d’autres groupes iraniens plus médiatisés tels que Charming Kitten, MuddyWater et OilRig, Infy a réussi à maintenir un profil très bas, attirant peu l’attention des chercheurs et des médias. Cette discrétion a permis au groupe d’opérer pendant des années presque sans être détecté, jusqu’à sa première observation notable en ciblant des victimes en Suède, aux Pays-Bas et en Turquie.

La réputation de discrétion de l’APT Infy contraste fortement avec les autres groupes iraniens, qui ont fait l’objet de nombreuses publications et analyses. Selon les rapports de l’ANSSI, cette discrétion n’indique pas nécessairement une moins grande menace, mais plutôt une approche différente de l’opération cybernétique. Les groupes discrets comme Infy peuvent souvent opérer plus longtemps sans être découverts, accumulant ainsi une plus grande expérience et affinant leurs techniques.

Évolution des tactiques au fil des années

Au cours de son existence, l’APT Infy a considérablement évolué dans ses méthodes d’attaque et ses outils. Les premières campagnes du groupe utilisaient principalement des techniques simples mais efficaces, tandis que les opérations récentes montrent une sophistication notable dans l’ingénierie des malwares et la gestion de l’infrastructure C2.

Une analyse comparative des campagnes menées entre 2017 et 2025 révèle une adaptation constante aux contre-mesures de sécurité:

Cette évolution montre comment l’APT iranien Infy a su s’adapter aux défenses de plus en plus sophistiquées des organisations ciblées, passant des techniques de base à des méthodes d’infection plus complexes et plus résistantes à l’analyse.

Les outils malveillants de l’APT Infy

L’efficacité de l’APT Infy repose en grande partie sur deux principaux outils malveillants : Foudre et Tonnerre. Ces deux composants fonctionnent en syrie pour infecter les systèmes, collecter des informations sensibles et exfiltrer les données vers les serveurs de commandement et contrôle du groupe.

Foudre : downloader et profiler de victimes

Foudre est un malware polyvalent servant principalement de downloader et de profiler de victimes. Ce programme malveillant est distribué principalement via des emails de phishing ciblés, qui contiennent des documents Microsoft Office modifiés pour exécuter le code malveillant.

Les versions récentes de Foudre (notamment la version 34 identifiée en 2025) montrent une évolution significative par rapport aux premières versions. Le malware a été modifié pour intégrer un exécutable directement dans les documents Office, plutôt que de dépendre de macros, ce qui le rend plus difficile à détecter par les solutions de sécurité traditionnelles.

Dans la pratique, Foudre effectue plusieurs actions critiques une fois exécuté :

1. Il collecte des informations système détaillées sur la machine infectée
2. Il évalue la valeur de la machine cible en fonction de ces informations
3. Il télécharge et exécute un deuxième-stage malware (Tonnerre) si la machine est jugée suffisamment importante
4. Il établit une communication avec l’infrastructure C2 du groupe

Cette approche en deux étapes permet au groupe de ne déployer son implant principal que sur les machines les plus pertinentes, optimisant ainsi l’utilisation de ses ressources et minimisant le risque de détection.

Tonnerre : implant de deuxième étage

Tonnerre représente le cœur des opérations de l’APT Infy. Une fois déployé par Foudre, cet implant se charge de la collecte détaillée de données et de leur exfiltration vers les serveurs du groupe. Les versions récentes de Tonnerre (identifiées entre les versions 12-18 et 50) montrent des améliorations significatives en termes de furtivité et de résilience.

L’une des caractéristiques les plus notables de Tonnerre est sa capacité à contacter un groupe Telegram spécifique nommé « سرافراز » (signifiant « fièrement » en persan). Cette communication se fait via l’infrastructure C2 et implique deux entités : un bot Telegram (@ttestro1bot) probablement utilisé pour émettre des commandes et collecter des données, et un utilisateur (@ehsan8999100).

« L’utilisation de l’application de messagerie pour le C2 n’est pas rare, mais ce qui est notable, c’est que les informations sur le groupe Telegram sont stockées dans un fichier nommé ’tga.adr’ dans un répertoire appelé ’t’ sur le serveur C2 », a expliqué Tomer Bar.

Cette intégration de services grand public dans les infrastructures C2 représente une tendance émergente dans le paysage des menaces, permettant aux acteurs de menace de bénéficier de l’infrastructure existante tout en restant relativement anonymes.

Autres variantes identifiées (2017-2020)

Au-delà des outils principaux Foudre et Tonnerre, l’APT Infy a développé et utilisé plusieurs autres variantes de malwares entre 2017 et 2020. Ces outils complètent l’arsenal du groupe et témoignent de sa capacité à diversifier ses approches d’infection.

Les variantes identifiées incluent :

• Une version de Foudre camouflée en Amaq News Finder, un service de nouvelles souvent associé à des groupes extrémistes
• Une nouvelle version d’un trojan appelé MaxPinner, téléchargé par la DLL Foudre version 24 pour espionner le contenu de Telegram
• Une variation de malware appelée Deep Freeze, similaire à Amaq News Finder, utilisée pour infecter les victimes avec Foudre
• Un malware inconnu nommé Rugrement, dont la fonction précise reste à élucider

Cette diversité d’outils permet au groupe d’adapter ses méthodes d’infection aux défenses spécifiques de ses cibles et de maintenir son efficacité même lorsque certaines techniques sont compromises ou détectées.

Campagnes récentes et cibles

Après presque cinq ans de relative discrétion, l’APT Infy a récemment mené des campagnes de ciblage étendues à travers le Moyen-Orient, l’Asie du Sud et l’Europe. Ces campagnes utilisent des versions mises à jour des outils traditionnels du groupe, démontrant sa capacité à évoluer et à rester pertinent dans un paysage de menaces en constante évolution.

Victimes identifiées (2023-2025)

Les analyses récentes menées par SafeBrecht ont révélé que les campagnes les plus récentes de l’APT Infy ont ciblé des victimes dans plusieurs pays clés :

• Iran : principalement des organisations gouvernementales et des entités liées à la sécurité
• Irak : institutions publiques et entreprises dans le secteur de l’énergie
• Turquie : entités diplomatiques et organisations non gouvernementales
• Inde : entreprises technologiques et institutions financières
• Canada : agences gouvernementales et entreprises de défense
• Europe : diverses organisations dans les secteurs de la technologie et de la défense

Cette diversité géographique indique que l’APT Infy opère avec une portée internationale, ciblant à la fois des intérêts nationaux iraniens et des organisations perçues comme hostiles ou concurrentes. La sélection de cibles variées suggère également que le groupe a accès à des ressources importantes et à une expertise spécialisée dans plusieurs domaines sectoriels.

Techniques d’infection mises à jour

L’une des caractéristiques les plus notables des campagnes récentes de l’APT Infy est l’évolution de ses techniques d’infection. Alors que les campagnes précédentes utilisaient principalement des fichiers Microsoft Excel contenant des macros malveillantes, les opérations récentes ont adopté une approche plus subtile.

Les nouvelles campagnes intègrent désormais un exécutable directement dans les documents Office, plutôt que de se fier aux macros. Cette modification représente une réponse directe aux améliorations des technologies de détection des macros et aux politiques de sécurité plus strictes de nombreuses organisations.

En outre, le groupe a perfectionné son utilisation de l’algorithme de génération de domaine (DGA) pour rendre son infrastructure de commandement et contrôle (C2) plus résiliente aux tentatives de neutralisation. Cette approche permet au groupe de maintenir des communications avec les systèmes infectés même si certains domaines C2 sont bloqués ou analysés.

Calendrier des activités

L’analyse chronologique des activités de l’APT Infy révèle un pattern intéressant de périodes d’intense activité suivies de longues périodes de silence. Ce modèle d’opération « pulsée » permet au groupe de maintenir son efficacité tout en minimisant le risque de détection et d’analyse.

Les périodes d’activité intense incluent :

• Fin 2004 - début 2006 : premières campagnes identifiées, ciblant principalement des organisations gouvernementales au Moyen-Orient
• 2010-2012 : expansion des cibles vers l’Europe et l’Asie du Sud
• 2017-2020 : diversification des outils et des techniques, avec l’introduction de plusieurs nouvelles variantes de malwares
• 2023-2025 : retour en force après cinq ans de silence, avec des campagnes étendues et des outils mis à jour

Ce modèle suggère que l’APT Infy opère selon un calendrier stratégique, probablement lié à des objectifs politiques ou militaires spécifiques. Les longues périodes de silence permettent au groupe de développer de nouvelles techniques et outils, tandis que les périodes d’activité intense coïncident avec des événements géopolitiques importants ou des campagnes de ciblage ciblées.

Infrastructure de commandement et contrôle (C2)

L’une des raisons du succès durable de l’APT Infy réside dans la sophistication de son infrastructure de commandement et contrôle (C2). Cette infrastructure représente le « cerveau » des opérations du groupe, permettant la coordination des attaques, le déploiement des malwares et l’exfiltration des données volées.

Mécanismes de résilience

Pour maintenir la résilience de son infrastructure C2, l’APT Infy utilise plusieurs techniques avancées. La plus notable est l’utilisation d’un algorithme de génération de domaine (DGA), qui permet au groupe de créer dynamiquement de nouveaux domaines C2 à intervalles réguliers. Cette approche rend l’infrastructure du groupe résistante aux tentatives de neutralisation basées sur le blocage de domaines statiques.

En pratique, les mécanismes DGA de l’APT Infy fonctionnent de la manière suivante :

1. Le malware génère une liste potentielle de domaines en fonction d’un algorithme cryptographique
2. Le groupe utilise certains de ces domaines comme points de C2 temporaires
3. Les domaines non utilisés sont laissés inactifs pour éviter la détection
4. Le cycle se répète périodiquement avec de nouveaux ensembles de domaines

Cette approche permet au groupe de maintenir des communications fiables avec les systèmes infectés même si certains domaines C2 sont découverts et bloqués par les défenses des cibles.

Vérification d’authenticité RSA

L’une des caractéristiques les plus sophistiquées de l’infrastructure C2 de l’APT Infy est son mécanisme de vérification d’authenticité basé sur RSA. Ce mécanisme permet au malware de vérifier que les domaines C2 avec lesquels il communique sont bien des serveurs appartenant au groupe, et non des serveurs d’analyse ou des systèmes d’attaque contre la menace.

Le processus de vérification fonctionne comme suit :

1. Le malware télécharge un fichier de signature crypté à partir du domaine C2 potentiel
2. Le fichier est déchiffré à l’aide d’une clé publique embarquée dans le malware
3. Le résultat est comparé à un fichier de validation stocké localement sur la machine infectée
4. Si les signatures correspondent, le domaine est considéré comme authentique

« Chaque jour, Foudre télécharge un fichier de signature dédié chiffré avec une clé RSA privée par l’acteur de menace, puis utilise une vérification RSA avec une clé publique embarquée pour vérifier que ce domaine est un domaine approuvé », a expliqué Tomer Bar. « Le format de la requête est : ‘https:///key/<jour de l’année>.sig.’ »

Ce mécanisme de vérification ajoute une couche de sécurité supplémentaire à l’infrastructure C2 du groupe, rendant encore plus difficile pour les chercheurs en sécurité de se faire passer pour les serveurs légitimes et d’intercepter les communications.

Communication via Telegram

L’une des innovations les plus récentes de l’APT Infy est l’intégration de Telegram dans son infrastructure C2. La dernière version de Tonnerre inclut un mécanisme pour contacter un groupe Telegram spécifique nommé « سرافراز » (signifiant « fièrement » en persan).

Cette intégration implique deux entités :

• Un bot Telegram (@ttestro1bot) probablement utilisé pour émettre des commandes et collecter des données
• Un utilisateur avec le pseudonyme @ehsan8999100

Ce qui rend particulièrement intéressant cette approche, c’est que les informations sur le groupe Telegram sont stockées dans un fichier nommé « tga.adr » dans un répertoire appelé « t » sur le serveur C2. De plus, le téléchargement du fichier « tga.adr » ne peut être déclenché que pour une liste spécifique de GUID de victimes, ce qui indique un niveau de sophistication élevé dans la gestion des communications.

L’utilisation de services de messagerie grand public comme Telegram pour les communications C2 représente une tendance croissante dans le paysage des menaces. Cette approche permet aux acteurs de menace de bénéficier de l’infrastructure existante et de la résilience des services légitimes, tout en maintenant un certain degré d’anonymat.

Structure du serveur C2

Les analyses de l’infrastructure C2 de l’APT Infy ont révélé une organisation structurée des serveurs, avec plusieurs répertoires spécialisés servant à différentes fonctions. Cette structure témoigne du professionnalisme et de l’expérience du groupe dans la gestion de ses opérations cybernétiques.

Les principaux répertoires identifiés incluent :

• « key » : utilisé pour la validation C2, contenant les fichiers de signature nécessaires au processus d’authentification
• « logs » : stockant les journaux de communication entre les malwares et les serveurs C2
• « download » : dont le but exact reste inconnu, mais qui est suspecté d’être utilisé pour télécharger et mettre à niveau vers de nouvelles versions des malwares
• « t » : contenant le fichier « tga.adr » avec les informations sur le groupe Telegram

Cette organisation structurée permet au groupe de gérer efficacement divers aspects de ses opérations, de la validation de l’infrastructure C2 à l’exfiltration des données volées. La présence d’un répertoire « download » suggère également que le groupe maintient activement ses outils et les met à jour pour contrer les nouvelles défenses de sécurité.

Implications pour la cybersécurité

La réapparition de l’APT iranien Infy après presque cinq ans de silence représente un signal d’alarme important pour les organisations à travers le monde. Ce groupe de menace, avec son histoire d’opérations continues depuis 2004 et sa réputation de discrétion, démontre que les acteurs persistants peuvent revenir en force avec des techniques mises à jour, représentant une menace significative pour les cibles stratégiques.

Menaces persistantes avancées

L’APT Infy exemplifie la nature persistante et adaptative des menaces avancées dans le paysage cybernétique actuel. Contrairement aux cybercriminels motivated par le profit, les groupes APT comme Infy opèrent souvent avec des objectifs politiques ou militaires à long terme, ce qui les rend particulièrement déterminés et résilients.

Selon le rapport 2025 de l’ANSSI sur les menaces cybernétiques, les groupes APT représentent l’une des menaces les plus significatives pour les organisations sensibles, en particulier celles opérant dans les secteurs de la défense, de l’énergie et des services financiers. La capacité de ces groupes à maintenir des opérations continues pendant des années, tout en adaptant leurs techniques aux contre-mesures de sécurité, en fait des adversaires redoutables.

La récente campagne de l’APT Infy démontre plusieurs tendances préoccupantes dans le paysage des menaces persistantes :

1. La sophistication croissante des techniques d’infection, passant des macros aux exécutables intégrés
2. L’utilisation créative de services grand public comme Telegram pour les communications C2
3. L’amélioration continue des mécanismes de résilience de l’infrastructure C2
4. La diversification géographique des cibles, indiquant une portée internationale

Ces tendances suggèrent que les groupes APT continuent d’évoluer et d’innover, nécessitant une vigilance accrue de la part des organisations cherchant à se protéger contre ces menaces.

Recommandations de protection

Face à la menace représentée par l’APT Infy et d’autres groupes similaires, les organisations doivent adopter une approche holistique de la cybersécurité. Cette approche doit combiner des défenses techniques robustes avec des processus et des procédures de sécurité bien définis.

Les recommandations de protection spécifiques incluent :

1. Formation et sensibilisation des employés : Étant donné que l’APT Infy utilise principalement des emails de phishing pour initier ses campagnes, la formation des employés à识别 les tentatives d’hameçonnage est essentielle.
2. Gestion rigoureuse des macros Office : Désactiver ou restreindre l’exécution des macros dans les documents Office peut réduire considérablement la surface d’attaque.
3. Détection des comportements anormaux : Mettre en place des systèmes de détection des comportements anormaux peut aider à identifier les activités malveillantes même si les signatures spécifiques ne sont pas connues.
4. Segmentation du réseau : La segmentation du réseau peut limiter la propagation des malwares et l’exfiltration des données en cas d’infection.
5. Surveillance continue de l’infrastructure C2 : La surveillance des communications sortantes vers des domaines C2 connus ou suspects peut aider à détecter les infections précocement.
6. Mises à jour régulières des systèmes : Maintenir les systèmes et les applications à jour avec les dernières corrections de sécurité est crucial pour contrer les vulnérabilités exploitées par les groupes comme l’APT Infy.

En outre, les organisations doivent développer et tester régulièrement des plans de réponse aux incidents pour être prêtes à faire face aux infections réussies, malgré toutes les précautions prises.

Tendances du cyberespionnage

La réapparition de l’APT Infy s’inscrit dans un contexte plus large de tendances émergentes dans le domaine du cyberespionnage. L’analyse des activités de ce groupe, comparée à celles d’autres acteurs de menace nationaux, révèle plusieurs tendances significatives qui façonneront probablement le paysage cybernétique dans les années à venir.

Premièrement, il y a une tendance claire vers une plus grande intégration entre les opérations de cyberespionnage et de cyberguerre. Des groupes comme l’APT Infy ne se contentent plus de collecter des informations, mais préparent également le terrain pour des opérations plus directes, que ce soit en temps de paix ou en période de conflit.

Deuxièmement, l’utilisation de services grand public pour les communications C2 représente une tendance croissante qui complique la détection et le contre-espionnage. Des plateformes comme Telegram, Signal ou même des services de stockage cloud légitimes sont de plus en plus utilisés pour masquer les communications malveillantes.

Troisièmement, il y a une tendance vers une plus grande spécialisation et coopération entre les groupes de menace nationaux. Plutôt que de fonctionner comme des entités isolées, ces groupes partagent de plus en plus des outils, des techniques et même des infrastructures, créant un écosystème de menaces interconnectées et résilientes.

« APT 35, la même machine administrative qui gère les opérations à long terme de phishing d’identification de Téhéran, a également géré la logistique qui alimentait le théâtre de rançongage de Moses Staff », a expliqué DomainTools dans son analyse des fuites de Charming Kitten. « Les soi-disant hacktivistes et l’unité gouvernementale cybernétique partagent non seulement des outils et des cibles, mais aussi le même système de comptabilité payable. L’armée de propagande et l’armée d’espionnage sont deux produits d’un seul flux de travail : différents « projets » sous le même régime de billetterie interne. »

Cette analyse souligne la complexité croissante des opérations cybernétatiques, où différentes branches d’une même organisation peuvent opérer avec des objectifs apparentés mais distincts, tout en partageant des ressources et une infrastructure commune.

Conclusion : rester vigilant face aux menaces émergentes

La réapparition de l’APT iranien Infy après presque cinq ans de silence représente un rappel important de la nature persistante et adaptative des menaces cybernétiques avancées. Ce groupe, avec son histoire remontant à 2004 et sa réputation de discrétion, démontre que même les acteurs les plus discrets peuvent revenir en force avec des techniques mises à jour, représentant une menace significative pour les organisations sensibles à travers le monde.

L’évolution constante des tactiques d’attaque de l’APT Infy, de l’utilisation de macros simples à l’intégration d’exécutables dans les documents Office, en passant par l’utilisation créative de services comme Telegram pour les communications C2, témoigne de la capacité des groupes APT à innover et à s’adapter aux défenses de sécurité.

Face à cette menace persistante, les organisations doivent adopter une approche proactive et holistique de la cybersécurité, combinant des défenses techniques robustes avec des processus bien définis et une formation continue du personnel. La vigilance reste la clé de la détection et de la prévention des infections réussies, malgré toutes les précautions prises.

À mesure que nous entrons dans une période où les tensions géopolitiques augmentent, il est probable que nous assisterons à une augmentation des activités de groupes comme l’APT Infy. Les organisations doivent se préparer à cette réalité en renforçant leurs défenses, en améliorant leur capacité de détection et de réponse, et en restant informées des dernières tendances et menaces dans le paysage cybernétique.

La cybersécurité n’est pas une bataille unique, mais un continu effort d’adaptation et d’amélioration. En comprenant les tactiques, les techniques et les procédures (TTP) des groupes de menace comme l’APT Infy, les organisations peuvent mieux se positionner pour se protéger contre les menaces persistantes avancées et préserver la sécurité de leurs systèmes et de leurs données sensibles.