Actifs depuis au moins 2015, Ferocious Kitten est un groupe de cyberespionnage beaucoup plus discret que les autres en Iran. Il dispose d’outils très efficaces pour tout savoir de l’activité des internautes iraniens, d’après un rapport de la société Kaspersky que France 24 a pu consulter.
“Mon nom est Hussein Jaffari, j’étais prisonnier du régime de 1364 à 1365 [équivalent dans le calendrier persan des années 1985 et 1986, NDLR]”. Mais Hussein Jaffari n’a jamais existé et ce message visait à inciter les victimes, probablement des opposants au pouvoir en place à Téhéran, à cliquer sur une pièce jointe contenant un logiciel de surveillance.
Tel est l’un des subterfuges utilisés par un groupe de cyberespions jusqu’alors inconnu pour piéger des internautes iraniens. Les activités de ces pirates informatiques remontent à 2015 au moins. Elles ont été révélées par la société de sécurité informatique Kaspersky dans rapport publié mercredi 16 juin et que France 24 a pu consulter.
Un mouchard très polyvalent
En six ans passés à espionner dans la plus grande discrétion, ce groupe – baptisé Ferocious Kitten par Kaspersky – a utilisé pléthore de techniques pour installer son mouchard sur les ordinateurs ou smartphones de ses cibles. Il a envoyé des images “piégées” de manifestations hostiles au pouvoir qui, une fois ouvertes, permettaient d’installer le virus en tâche de fond. Ferocious Kitten a aussi créé des copies de plusieurs sites populaires auprès des Iraniens, comme Aparat – le YouTube iranien -, qui, là encore, permettait d’installer discrètement le mouchard sur l’ordinateur de la cible. Enfin, ces cyberespions ont fait circuler des versions modifiées, et contenant le virus, de logiciels populaires permettant de contourner la censure iranienne de l’Internet.
Autant d’efforts déployés pour installer sur les ordinateurs un programme malveillant baptisé MarkiRAT, qui assure aux attaquants un large accès aux données personnelles de la victime. C’est un “outil de contrôle à distance fait maison par ce groupe que nous n’avions pas encore rencontré”, note Paul Rascagnères, l’un des chercheurs de Kaspersky à avoir travaillé à l’analyse de cette cybermenace, contacté par France 24.
Une fois installé sur l’ordinateur, ce mouchard se met automatiquement à la recherche des documents Office (Word, PowerPoint, Outlook etc.), des images ou encore des fichiers de mots de passe. Il peut aussi enregistrer tout ce que l’utilisateur tape sur son clavier et sait se faire passer pour Telegram, la célèbre messagerie cryptée réputée utile pour échapper à la surveillance électronique. Ferocious Kitten a également développé une version de son logiciel malveillant pour les smartphones Android, bien plus populaires en Iran que les iPhones.
Ils sont loin d’être les seuls à espionner les internautes iraniens potentiellement hostiles au régime en place. D’autres groupes, comme Prince of Persia, Domestic Kitten ou Charming Kitten, ont également mis une partie de la population sur cyberécoute. “Ferocious Kitten partage d’ailleurs certains des modes opératoires des autres groupes”, assure Paul Rascagnères. Le fait de créer des fausses versions de certains sites populaires en Iran pour piéger les victimes ou de se faire passer pour un ex-prisonnier politique sont des techniques qui ne sont pas propres à Ferocious Kitten.
La discrétion comme maître mot
Mais il reste, à ce jour, le groupe étant parvenu à rester discret le plus longtemps. La plupart des autres acteurs soupçonnés d’agir pour le compte du gouvernement iranien ont été découverts par les sociétés de cybersécurité depuis plusieurs années. Certains d’entre eux, comme Prince of Persia ont même dû fermer boutique pendant plusieurs années après avoir trop attiré l’attention sur eux. Ils avaient, notamment, commencé à étendre leurs activités d’espionnage aux États-Unis ou en Israël.
De son coté, Charming Kitten visaient les opposants politiques en Iran, mais ils ont aussi tenté d’espionner des membres de l’entourage de l’ex-président Donald Trump et de s’introduire sur les serveurs de groupes pharmaceutiques américains. Une ambition internationale qui a attiré sur les Charming Kitten l’attention des autorités américaines qui ont reconnu quatre de leurs supposés membres coupables de piratage informatique en 2019.
Ferocious Kitten est resté beaucoup plus modeste, et c’est peut-être ce qui explique son succès. “Certains éléments indiquent qu’ils ont une approche plus ciblée de leurs activités de surveillance”, estime Paul Rascagnères. Ce groupe ne dispose que d’un petit nombre de serveurs de commande et contrôle, suggérant ainsi qu’il ne va pas chercher à mettre sur écoute des milliers de personnes à travers le monde, comme cela fut le cas pour Prince of Persia.
Ils ont aussi programmé leur mouchard de telle manière “qu’il ne s’active qu’après avoir vérifié que le clavier est configuré en persan”, remarque le chercheur de Kaspersky. Là encore, Ferocious Kitten semble vouloir rester concentré à 100 % sur des cibles iraniennes ou de la dissidence, “afin de faire le moins de bruits possible”, estime Paul Rascagnères.
La découverte de Kaspersky démontre ainsi que l’effort de surveillance électronique des internautes iraniens est plus important que ce qu’on pouvait croire jusqu’à présent, avec des groupes de cyberespionnage poursuivant cette unique finalité.