Selon Picus Security, Predatory Sparrow est un groupe de cyber-sabotage menant des opérations hautement disruptives contre l’infrastructure, des organismes publics et des institutions financières iraniennes, dans le contexte de la « guerre de l’ombre » cyber entre Israël et l’Iran.
Le groupe a visé des cibles majeures comme le réseau ferroviaire national, des aciéries, des stations-service, ainsi que des institutions financières telles que Bank Sepah et la plateforme crypto Nobitex. Les opérations se distinguent par une perturbation opérationnelle massive, une destruction délibérée de données via des wipers, et un message public provocateur.
Sur le plan technique, les attaques suivent une chaîne multi-étapes combinant fichiers batch Windows, droppers VBS et archives RAR protégées par mot de passe. L’arsenal inclut les wipers Meteor et Stardust, capables de détruire les données, désactiver les cartes réseau, supprimer les copies de l’ombre et entraver la récupération système. 🧹🖥️
TTPs observées (exemples) :
- Persistance par tâches planifiées
- Manipulation des exclusions de Windows Defender
- Détection et suppression de Kaspersky AV
- Fichiers de configuration chiffrés
- C2 via le Web
- Sabotage du boot via BCDEdit
- Contrôles de nom d’hôte pour éviter l’exécution sur certains systèmes
Ciblage et sélectivité : le malware cible explicitement des infrastructures iraniennes tout en évitant l’exécution sur certaines machines via des mécanismes de vérification de nom d’hôte. L’article souligne des campagnes de sabotage à fort impact et une communication publique provocatrice. Type de contenu : analyse de menace / profil d’acteur visant à documenter TTPs et outillage.
🔗 Source originale : https://www.picussecurity.com/resource/blog/predatory-sparrow-inside-the-cyber-warfare-targeting-irans-critical-infrastructure