Conflit Iranien Entraîne une Hausse de l’Activité d’Espionnage sur les Cibles du Moyen-Orient

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Conflit Iranien Entraîne une Hausse de l’Activité d’Espionnage sur les Cibles du Moyen-Orient

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Proofpoint a signalé une augmentation des activités d’espionnage et de phishing liées à des acteurs de la menace alignés sur l’Iran, la Chine, le Pakistan, la Biélorussie et d’autres états après les frappes de février 2026 en Iran. Les adversaires ont utilisé des appâts thématiques sur le conflit pour cibler les ministères, les organisations diplomatiques et les groupes de réflexion au Moyen-Orient et aux États-Unis. Ces opérations reposaient sur le phishing d’identifiants, les fichiers LNK malveillants, le chargement de DLL et des charges Cobalt Strike livrées via des comptes de messagerie compromis et une infrastructure hébergée dans le cloud. Les efforts de détection devraient prioriser les raccourcis Office malveillants, les pages de connexion OneDrive factices et l’utilisation suspecte de chargeurs de logiciels malveillants connus.

Enquête

Proofpoint a suivi six campagnes distinctes — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 et TA453 — qui utilisaient la compromission par e-mail, les archives armées et les liens malveillants pour livrer des chargeurs qui lançaient finalement Cobalt Strike. Les chercheurs ont catalogué des indicateurs comprenant des adresses e-mail, des domaines, des URL, des noms de fichiers et des hachages de fichiers. Dans la mesure du possible, le rapport a également cartographié l’infrastructure observée aux rapports publics déjà documentés.

Atténuation

Les organisations devraient exiger une authentification multi-facteurs pour les plateformes de messagerie et cloud, bloquer les domaines et URL malveillants connus, et surveiller l’exécution de LNK et l’activité de chargement de DLL inattendue. Les contrôles de sécurité des e-mails doivent inspecter les pièces jointes pour la livraison basée sur LNK et archive, tandis que la chasse aux menaces doit mettre l’accent sur le comportement de balisage Cobalt Strike et l’exécution inhabituelle de PowerShell.

Réponse

Si un LNK suspect, une archive malveillante ou un balisage Cobalt Strike est identifié, isolez l’hôte, collectez des preuves volatiles et commencez immédiatement la réponse aux incidents. Bloquez les domaines de commande et de contrôle et les adresses IP associés, réinitialisez les comptes compromis et effectuez une enquête médico-légale complète pour identifier tout mécanisme de persistance.

<div class="wp-block-socprime-category-attack-flow attack-flow-class" data-title="Attack Flow" data-attack-flow="graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear["Action – T1566.001 Phishing: Spearphishing Attachment Description: Send emails with malicious ZIP or LNK attachments that execute code when opened. Confidence: High"] class action_phishing_spear action action_execution_ps["Action – T1059.001 PowerShell Description: Use PowerShell to download and execute additional payloads. Confidence: High"] class action_execution_ps action action_defense_proxy["Action – T1218 System Binary Proxy Execution Description: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe). Confidence: High"] class action_defense_proxy action action_c2_web["Action – T1102.002 Web Service: Bidirectional Communication Description: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive. Confidence: High"] class action_c2_web action action_persistence_account["Action – T1098 Account Manipulation & T1078 Valid Accounts Description: Use compromised email accounts to maintain foothold and send further phishing. Confidence: High"] class action_persistence_account action action_phishing_additional["Action – T1566 Phishing (Additional) Description: Host fake OWA/OneDrive credential pages to harvest credentials. Confidence: High"] class action_phishing_additional action %% Nodes – Artifacts artifact_zip["Artifact – Malicious ZIP attachment Content: LNK and PDF files with embedded payloads"] class artifact_zip artifact artifact_lnk["Artifact – LNK file (nvdaHelperRemoteLoader.exe)"] class artifact_lnk artifact artifact_ps_script["Artifact – PowerShell script used for download"] class artifact_ps_script artifact artifact_dll["Artifact – Malicious DLL (nvdaHelperRemote.dll)"] class artifact_dll malware %% Nodes – Processes / Tools process_loader["Process – nvdaHelperRemoteLoader.exe (signed binary)"] class process_loader process process_powershell["Process – PowerShell.exe executing download script"] class process_powershell process %% Nodes – Command & Control Services service_c2_almer["Service – support.almersalstore.com (C2 domain)"] class service_c2_almer service service_c2_azure["Service – Azure Front Door host"] class service_c2_azure service service_c2_onedrive["Service – OneDrive file link (C2)"] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email["Credential

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[« Action – T1566.001 Phishing: Spearphishing Attachment Description: Envoyer des e-mails avec des pièces jointes malveillantes ZIP ou LNK qui exécutent du code lors de leur ouverture. Confiance: Élevée »] class action_phishing_spear action action_execution_ps[« Action – T1059.001 PowerShell Description: Utiliser PowerShell pour télécharger et exécuter des charges supplémentaires. Confiance: Élevée »] class action_execution_ps action action_defense_proxy[« Action – T1218 Exécution de proxy binaire système Description: Charger une DLL malveillante via un binaire signé (nvdaHelperRemoteLoader.exe). Confiance: Élevée »] class action_defense_proxy action action_c2_web[« Action – T1102.002 Service Web: Communication bidirectionnelle Description: Communiquer avec des hôtes C2 en utilisant des services web tels que Azure Front Door et OneDrive. Confiance: Élevée »] class action_c2_web action action_persistence_account[« Action – T1098 Manipulation de compte & T1078 Comptes valides Description: Utiliser des comptes e-mail compromis pour maintenir une emprise et envoyer d’autres phishing. Confiance: Élevée »] class action_persistence_account action action_phishing_additional[« Action – T1566 Phishing (Additional) Description: Héberger de fausses pages d’identification OWA/OneDrive pour collecter des identifiants. Confiance: Élevée »] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[« Artifact – Pièce jointe ZIP malveillante Contenu: Fichiers LNK et PDF avec charges intégrées »] class artifact_zip artifact artifact_lnk[« Artifact – Fichier LNK (nvdaHelperRemoteLoader.exe) »] class artifact_lnk artifact artifact_ps_script[« Artifact – Script PowerShell utilisé pour le téléchargement »] class artifact_ps_script artifact artifact_dll[« Artifact – DLL malveillante (nvdaHelperRemote.dll) »] class artifact_dll malware %% Nodes – Processes / Tools process_loader[« Process – nvdaHelperRemoteLoader.exe (binaire signé) »] class process_loader process process_powershell[« Process – PowerShell.exe exécutant un script de téléchargement »] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[« Service – support.almersalstore.com (domaine C2) »] class service_c2_almer service service_c2_azure[« Service – Hôte Azure Front Door »] class service_c2_azure service service_c2_onedrive[« Service – Lien de fichier OneDrive (C2) »] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[« Credential – Compte e-mail gouvernemental compromis »] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|delivers| artifact_zip artifact_zip –>|contains| artifact_lnk artifact_lnk –>|executes| process_loader process_loader –>|uses| action_defense_proxy action_defense_proxy –>|loads| artifact_dll artifact_dll –>|enables| action_execution_ps action_execution_ps –>|runs| process_powershell process_powershell –>|downloads payload via| artifact_ps_script process_powershell –>|communicates with| service_c2_almer process_powershell –>|communicates with| service_c2_azure process_powershell –>|communicates with| service_c2_onedrive service_c2_almer –>|supports| action_persistence_account service_c2_azure –>|supports| action_persistence_account service_c2_onedrive –>|supports| action_persistence_account action_persistence_account –>|uses| credential_email credential_email –>|sends| action_phishing_additional action_phishing_additional –>|hosts| artifact_zip

Flux d’attaque

Narratif et Commandes d’Attaque :
Un adversaire a obtenu une copie compromise de nvdaHelperRemoteLoader.exe intégré avec une DLL malveillante (evil.dll). Ils placent le binaire dans C:Temp et créent un raccourci qui pointe vers lui, déclenchant l’exécution via une tâche planifiée (T1546.009). Simultanément, ils abusent du binaire signé VLCMediaPlayer.exe (T1218) pour lancer une charge utile PowerShell qui effectue un fingerprinting de l’hôte. Les deux binaires sont lancés directement pour s’assurer que l’événement de création de processus contient exactement le nom exécutable requis par la règle.

Script de Test de Régression :

# -------------------------------------------------
# Script de simulation – déclenche les deux détections
# -------------------------------------------------
# Définir le dossier d'exécution
$binPath = "C:Temp"

# 1. Déployer nvdaHelperRemoteLoader.exe malveillant (copie de remplacement)
$nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- remplacer par un échantillon réel
Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force

# 2. Déployer VLCMediaPlayer.exe malveillant (copie de remplacement)
$vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- remplacer par un échantillon réel
Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force

# 3. Exécuter nvdaHelperRemoteLoader.exe (simulation de chargement latéral de DLL)
Write-Host "Lancement de nvdaHelperRemoteLoader.exe ..."
Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden

# 4. Exécuter VLCMediaPlayer.exe pour exécuter une ligne PowerShell de fingerprinting
$psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
Write-Host "Lancement de VLCMediaPlayer.exe avec une charge utile PowerShell ..."
Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
    -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
    -WindowStyle Hidden

Write-Host "Simulation terminée. Vérifiez les alertes dans votre SIEM."

Commandes de Nettoyage :

# Arrêter tous les processus de test en attente
Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
    Stop-Process -Force

# Supprimer les binaires de test
Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue

Write-Host "Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement