Les campagnes de phishing ciblant des militants et des acteurs du Moyen-Orient sont-elles plus sophistiquées qu’on ne le pense ? C’est la question que l’on doit se poser à la lumière d’une attaque récente contre Nariman Gharib, activiste iranien basé au Royaume-Uni, qui a partagé sur X (anciennement Twitter) des captures d’écran d’un lien de phishing reçu via WhatsApp. Pourquoi les opposants et intellectuels liés à l’Iran deviennent-ils des cibles privilégiées, et jusqu’où ces opérations d’espionnage vont-elles ?
En pleine période de protestations et de coupures d’Internet massives en Iran, cette campagne de hacking jette une lumière crue sur la guerre numérique qui se joue en coulisses. Le lien transmis à Gharib, analysé par TechCrunch grâce au code source transmis par l’activiste, dévoile un piège redoutable : vol d’identifiants Gmail, compromission de comptes WhatsApp, exfiltration de données de localisation ou de médias personnels… Pourquoi tant d’efforts pour cibler une poignée de personnes, et qui orchestre véritablement cette opération ?
L’enquête révèle que les auteurs du phishing, masquant leur adresse réelle via DuckDNS, hébergeaient leurs pages piégées sur une infrastructure dédiée – “alex-fabow.online” et d’autres domaines thématiques. Était-ce une simple opération de cybercriminalité, ou s’agissait-il d’un espionnage commandité ? Les victimes répertoriées sont des profils sensibles : chercheurs en sécurité nationale, dirigeants d’entreprises technologiques israéliennes, ministres libanais, journalistes, et même des individus liés aux États-Unis. Comment expliquer la diversité et la précision de cette cible ?
Une fuite de données a permis d’observer plus de 850 identités compromises, preuve de la portée silencieuse d’un phishing apparemment artisanal, mais aux conséquences majeures.
L’analyse technique va plus loin : une faiblesse dans le code permettait de consulter l’ensemble des identifiants collectés en temps réel, confirmant ainsi l’ampleur de l’attaque. Chaque trace laissée par les victimes – mots de passe, tentatives d’authentification à double facteur, informations sur l’appareil – éclaire la mécanique méticuleuse de la campagne. Que pensa l’auteur de cette négligence : arrogance ou simple erreur ? Difficile à dire, car l’opération, désormais hors ligne, laisse plus de zones d’ombre que de réponses.
Mais pourquoi collecter au-delà des identifiants ? Le “phishkit”, une fois activé, sollicitait l’accès aux photos, à la localisation en temps réel et à l’audio du téléphone. Selon les experts interrogés, ce niveau d’intrusion suggère une volonté de surveillance et d’espionnage, alors que, pour une opération purement financière, ces éléments ont peu d’intérêt. La manipulation du QR code WhatsApp pour détourner les comptes accentue encore la complexité de l’affaire : espionnage massif ou épineuse cybercriminalité opportuniste ?
L’attribution reste floue. Certains experts y voient la marque de l’IRGC, la garde révolutionnaire iranienne connue pour des manœuvres similaires, d’autres, comme Ian Campbell, rappellent que l’infrastructure – des domaines créés bien avant la vague de protestations – pourrait aussi signaler des cybercriminels recherchant un gain financier. Depuis des années, la frontière entre criminalité et espionnage d’État se brouille, où l’externalisation des attaques permet aux gouvernements de nier leur implication tout en récoltant de précieuses informations. Est-ce le cas ici ?
Le seul point sur lequel tous s’accordent : la vigilance doit rester de mise. Même un activiste averti a frôlé le piège, preuve que l’ingénierie sociale et la technicité de ces campagnes s’intensifient. Le phishing, vieil ennemi du web, agit désormais sur mesure, cible des profils de plus en plus stratégiques et pourrait, à tout moment, connaître une résurgence. Le silence des victimes déjà compromises n’est-il qu’un signe du début d’une vague plus large ?
Qui se cache réellement derrière ces opérations hybrides, et verrons-nous bientôt d’autres campagnes de ce genre frapper au-delà du Moyen-Orient ?
Source : Techcrunch
