Le Federal Bureau of Investigation has warned affirme que des acteurs malveillants liés à l’Iran utilisent la plateforme de messagerie Telegram dans le cadre de campagnes de logiciels malveillants ciblant des individus et des organisations. L’alerte identifie des activités associées à des groupes, dont Handala, un groupe hacktiviste pro-Palestine, et Homeland Justice, que les autorités américaines avaient auparavant reliées au Corps des Gardiens de la Révolution islamique iranienne.
Selon le FBI, les assaillants utilisent Telegram comme partie intégrante de leur infrastructure de commandement et de contrôle. Cela leur permet de communiquer avec des systèmes compromis, d’émettre des instructions et de récupérer les données volées sans dépendre des serveurs traditionnels. Les enquêteurs ont indiqué que cette approche peut rendre la détection plus difficile car elle utilise un service de messagerie largement accessible plutôt qu’une infrastructure malveillante dédiée.
Les campagnes reposent sur des techniques d’ingénierie sociale pour diffuser des malwares. Les cibles reçoivent des fichiers ou des liens qui semblent être des logiciels ou documents légitimes. Une fois ouverts, ces fichiers installent des programmes malveillants sur les appareils Windows. Le malware est conçu pour collecter des informations provenant des systèmes infectés, y compris des fichiers, des captures d’écran et des données système, qui peuvent ensuite être transmises aux attaquants.
Le FBI a indiqué que le malware agit en plusieurs étapes. Les charges utiles initiales permettent l’accès au système, tandis que les composants suivants se connectent à des canaux ou des robots basés sur Telegram pour permettre une communication continue. Cette configuration permet aux attaquants de maintenir la persistance et de continuer à interagir avec l’appareil compromis au fil du temps.
Les autorités ont indiqué que cette activité a ciblé un éventail d’individus, dont des journalistes, des responsables gouvernementaux, des personnalités politiques et d’autres personnes. Dans certains cas, ces campagnes ont été liées à des efforts pour recueillir des renseignements ou obtenir des informations qui pourraient ensuite être rendues publiques.
Cet avertissement fait suite à des actions récentes des forces de l’ordre contre les infrastructures liées aux mêmes groupes, y compris la saisie de sites web utilisés pour distribuer des données volées. Le FBI a indiqué que l’avis visait à fournir des détails techniques que les organisations peuvent utiliser pour identifier et atténuer des menaces similaires.
Les responsables ont recommandé que les organisations surveillent le trafic réseau pour détecter des connexions inhabituelles avec des plateformes de messagerie et s’assurent que les systèmes sont mis à jour et protégés contre les vulnérabilités connues. L’enquête sur cette activité est en cours.