Les chercheurs de la société Proofpoint, leader dans les domaines de la cybersécurité et la conformité, publient aujourd’hui de nouvelles informations sur les activités du groupe de cybercriminels TA453 (aussi connu sous les noms de Charming Kitten, PHOSPHORUS ou APT42). Dans ses dernières campagnes le groupe en lien avec l’État iranien s’éloigne de ses techniques de phishing habituelles pour cibler une nouvelle typologie de victime.
Les recherches révèlent que :
- Les cybercriminels de TA453 font usage de comptes compromis, des logiciels malveillants et de leurres de confrontation afin d’atteindre un large panel de victimes, allant de chercheurs en médecine à des agents immobiliers, en passant par des agences de voyages.
- Bien que la plupart des campagnes soient axées sur la collecte de renseignements, certaines activités indiquent également une éventuelle directive visant à soutenir les opérations secrètes et mêmes cinétiques du GRI en ciblant d’anciens militaires et en faisant appel à des tactiques d’intimidation et menaces d’enlèvement. Le groupe a également été observé apportant son soutien à certains complots de meurtres commandités par le GRI.
- TA453 utilise le personnage fictif de « Samantha Wolf » dans ses leurres d’ingénierie sociale pour exploiter les sentiments d’incertitude et de peur chez leurs cibles et ainsi les inciter à répondre aux e-mails des cybercriminels. Cette « persona » a notamment visé des politiciens et des organismes gouvernementaux américains et européens, une entreprise énergétique du Moyen-Orient et un universitaire basé aux États-Unis.
Sherrod DeGrippo, Vice-Présidente de la Recherche et de la Détection des Menaces chez Proofpoint, a commenté :
« Le groupe TA453 a été très actif ces dernières années. Tout au long de 2022, les chercheurs de Proofpoint ont observé le groupe utiliser une technique d’ingénierie sociale, baptisée Multi-Persona Impersonation, or, notre dernière recherche montre que le groupe TA453 s’est écarté de son mode opératoire habituel dans ses dernières campagnes. Ils privilégient aujourd’hui de nouvelles cibles et utilisent de nouvelles techniques témoignant d’intentions toujours plus hostiles. Ces changements permettent une meilleure compréhension des objectifs du Corps des Gardiens de la Révolution Islamique (GRI) et les conditions du mandat flexible sous lequel TA453 travaille. »