Dust Specter (APT présumé lié à l’Iran) cible des officiels irakiens avec SPLITDROP/TWINTASK/TWINTALK et GHOSTFORM
Selon ThreatLabz, un acteur APT présumé lié à l’Iran, nommé Dust Specter, cible des officiels gouvernementaux en Irak avec une campagne utilisant de nouveaux malwares nommés SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. L’analyse détaille deux chaînes d’attaque observées en conditions réelles, l’une basée sur une architecture scindée (worker + orchestrateur C2) et l’autre consolidée dans un binaire unique. 🧪 Chaîne d’attaque 1 (SPLITDROP → TWINTASK → TWINTALK). Un RAR protégé par mot de passe (« mofa-Network-code.rar ») livre un dropper .NET déguisé en WinRAR (SPLITDROP). Après saisie du mot de passe, SPLITDROP déchiffre une ressource chiffrée en AES‑256‑CBC avec PBKDF2 (HMAC‑SHA1, 10 000 itérations, clé 256 bits), écrit un ZIP puis extrait dans C:\ProgramData\PolGuid\, et exécute un VLC.exe légitime pour déclencher un sideloading de DLL. Le DLL malveillant libvlc.dll (TWINTASK) agit comme module worker : il boucle toutes les 15 s, lit in.txt, décale le premier caractère, décode en Base64, et exécute le script via PowerShell (timeout 600 s), en journalisant vers out.txt. La persistance est ajoutée via HKCU...\Run (clés VLC et WingetUI). Le binaire légitime WingetUI.exe est lancé et sideloade hostfxr.dll (TWINTALK), l’orchestrateur C2. ...