Des chercheurs en cybersécurité ont identifié une campagne d'attaques ciblant des responsables gouvernementaux irakiens. Le groupe baptisé "Dust Specter", probablement lié à l'Iran, se fait passer pour le ministère irakien des affaires étrangères pour distribuer de nouveaux malwares nommés SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L'analyse du code révèle que ces outils ont probablement été développés avec l'aide d'une intelligence artificielle générative, marquant une évolution inquiétante dans la création de logiciels malveillants.
Des techniques d'attaque sophistiquées
Les pirates utilisent deux méthodes d'infection. La première fait appel à une archive protégée par mot de passe contenant plusieurs composants malveillants qui communiquent entre eux via des fichiers texte. La seconde, plus évoluée, fusionne toutes les fonctionnalités dans un seul programme (GHOSTFORM) qui exécute des commandes directement en mémoire, sans laisser de traces sur le disque dur.
Pour rendre leurs attaques plus crédibles, les cybercriminels affichent un faux formulaire Google Forms, présenté comme une enquête officielle du ministère. Ils ont également compromis des infrastructures gouvernementales irakiennes réelles pour héberger leurs outils malveillants et utilisent des techniques de géolocalisation pour vérifier que leurs victimes se trouvent bien en Irak.
Cette affaire illustre deux tendances préoccupantes : l'utilisation d'IA pour créer des malwares plus rapidement et les attaques "ClickFix" qui incitent les victimes à copier-coller du code malveillant. Ne suivez jamais d'instructions vous demandant de coller et exécuter un script PowerShell, même si elles semblent provenir d'une source officielle. En cas de doute sur un document reçu par email, contactez directement l'expéditeur présumé par un autre canal avant d'ouvrir quoi que ce soit. Cette règle simple bloque la majorité de ces attaques ciblées.