Identifier des acteurs de la menace iraniens ciblant les infrastructures américaines
Lorsqu'Intrace a détecté le nom d'hôte du poste de travail d'un consultant Optiv dans des données du dark web liées à Water Black, l'enquête a révélé une infrastructure liée à l'Iran, du beaconing vers des domaines parqués et une compromission en plusieurs étapes visant un professionnel de la sécurité à haute valeur.

En juillet, grâce à Intrace, un collaborateur d'Optiv a appris que son poste de travail personnel apparaissait dans des données du dark web associées à un groupe de malware désigné sous le nom de « Water Black ». Le nom d'hôte de son ordinateur avait été observé dans des sources de données clandestines surveillées par Intrace, ce qui suggérait que la machine était non seulement compromise, mais aussi marquée comme cible à haute valeur. Cette désignation était cohérente avec sa fonction : il avait auparavant dirigé des travaux de réponse à incident sur une affaire majeure de rançongiciel, ce qui faisait de lui une cible attrayante pour des acteurs de la menace en quête de représailles ou de renseignements sur les techniques défensives.
Découverte sur le dark web et exposition du nom d'hôte
Le signal de départ de l'enquête était simple mais grave : la surveillance du dark web d'Intrace a détecté le nom d'hôte du poste de travail du consultant dans des données liées à Water Black.
Un nom d'hôte est l'étiquette lisible par un humain qui désigne une machine sur un réseau (par exemple, JOHN-DESKTOP ou CORP-LAPTOP-01). Voir un nom d'hôte dans du matériel d'acteurs de la menace signifie généralement que les attaquants ont obtenu au moins un certain niveau d'accès à cet appareil ou à son environnement. Plutôt que de simples adresses IP génériques ou des références anonymisées à des victimes, l'apparition du nom d'hôte précis d'un poste de travail est un indicateur fort que l'appareil lui-même faisait partie d'une campagne — et non d'un simple balayage aléatoire d'Internet.
Lien avec l'infrastructure
Au cours du triage initial, Intrace a corrélé la référence à Water Black avec de l'infrastructure exposée sur Internet. L'équipe a identifié un hôte unique sur Internet portant le nom d'hôte waterblack, hébergé dans un centre de données du Wyoming détenu par un fournisseur sous contrôle iranien. À ce stade :
- La société d'hébergement était RouterHosting, LLC, rebaptisée par la suite Cloudsy.
- Ce même fournisseur avait été cité dans des publications ouvertes comme soutenant plusieurs groupes de piratage liés à des gouvernements, ce qui augmentait la probabilité qu'il ne s'agisse pas d'une infrastructure de malware banalisé, mais bien d'un ensemble d'opérations plus organisé.
C'est important, car l'attribution d'infrastructure est un pilier de l'analyse d'intrusion. Lorsqu'un fournisseur ou un centre de données a déjà été associé à des groupes alignés sur des États et que de nouveaux domaines ou serveurs suspects y apparaissent, la confiance augmente : vous avez probablement affaire à un acteur de la menace avancé, possiblement lié à un gouvernement, plutôt qu'à de purs criminels opportunistes.
DNS et schéma de trafic
Sur le poste de travail lui-même, Intrace a examiné les connexions sortantes et les schémas de résolution DNS. Pendant plusieurs semaines, la machine s'était fréquemment connectée à des domaines nouvellement enregistrés et « parqués ». Nombre de ces domaines résolvaient vers l'infrastructure du même hébergeur lié à des intérêts iraniens.
Un domaine parqué est un nom de domaine enregistré mais non utilisé pour un véritable site web. Il affiche généralement une page d'attente générique ou des publicités. Les attaquants aiment utiliser des domaines parqués ou quasi vides parce que :
- Ils sont bon marché et faciles à enregistrer en masse.
- Ils paraissent plutôt anodins à un examen superficiel.
- Ils peuvent être redirigés rapidement vers de nouveaux serveurs pour échapper au blocage.
Le schéma de connexions répétées suggérait un comportement de beaconing : l'hôte compromis contactait régulièrement l'infrastructure contrôlée par les attaquants pour recevoir des instructions ou des mises à jour. C'est une architecture courante des malwares de commande et de contrôle (C2), où la machine infectée se signale périodiquement à un serveur distant pour transmettre son état et recevoir des ordres.
En mesure défensive immédiate, le consultant a bloqué l'accès aux domaines parqués au niveau du réseau. C'est intéressant du point de vue analytique, car couper le canal C2 principal force souvent le malware à révéler ses mécanismes de secours, ses erreurs de configuration ou son comportement en cas d'échec — et c'est exactement ce qui s'est produit ensuite.
Plantage de « MicrosoftSecurityApp.exe »
Quelques jours après le blocage des domaines parqués, un processus nommé MicrosoftSecurityApp.exe a planté sur le poste de travail.
Ce nom de binaire est suspect à plusieurs titres :
- Il imite un composant de sécurité Microsoft plausible sans correspondre à un produit connu et documenté.
- Les malwares utilisent couramment des noms de fichiers faux ou trompeurs pour se fondre parmi les processus système légitimes (par exemple en ajoutant « Microsoft », « Security », « Update » ou « Service » au nom).
Ce plantage juste après le blocage des connexions sortantes suggère que ce processus était soit l'agent central du malware, tentant en vain de joindre ses domaines C2, soit un chargeur ou un processus de surveillance dépendant du succès des communications sortantes, qui a planté lorsque celles-ci ont été rompues. D'un point de vue analytique, c'est un exemple classique de comportement sous contrainte : une fois le C2 bloqué, un malware avancé peut planter, redémarrer, basculer vers des canaux de secours ou activer plus agressivement des mécanismes de persistance locale.
Indices de persistance locale
Après l'incident du plantage de MicrosoftSecurityApp.exe, le poste de travail a tenté de lancer Game Bar, un composant intégré de Windows habituellement utilisé pour les surcouches de jeu et la capture d'écran. Le consultant avait auparavant désactivé Game Bar en raison d'un comportement suspect ; cette tentative de réactivation était donc notable.
Dans le Registre Windows, Game Bar était référencé sous des entrées commençant par AppX. D'autres entrées AppX pointaient vers FTP et SSH.
AppX est le format d'empaquetage de Microsoft pour les applications modernes du Windows Store. Un malware peut parfois détourner les mécanismes de conteneurs d'applications, les tâches planifiées ou les manifestes AppX à des fins de persistance. FTP (File Transfer Protocol) et SSH (Secure Shell) sont des protocoles standard : FTP sert aux transferts de fichiers, souvent en clair, et SSH aux connexions distantes chiffrées et au tunneling.
Voir des entrées AppX pointer vers FTP et SSH est étrange pour un poste de travail personnel qui n'est pas censé faire office de serveur. Cela suggère que le malware a pu enregistrer des entités de type application ou des tâches planifiées interagissant avec des points de terminaison FTP/SSH distants, ou mettre en place des canaux alternatifs d'exfiltration de données ou de réception de commandes, distincts du C2 HTTP/HTTPS via les domaines parqués.
La tentative de réactivation ou de déclenchement de Game Bar peut indiquer un détournement des capacités de surcouche et de capture de Game Bar à des fins d'enregistrement d'écran ou d'espionnage de l'utilisateur, ou l'utilisation d'un composant Windows légitime dans le cadre d'une stratégie de type « living off the land » visant à limiter le recours à des binaires manifestement malveillants.
Artefact réseau : TCP 22 et un lien avec « GhostContainer »
Durant cette période, le consultant a observé une connexion TCP sur le port 22 vers l'adresse 52.98.240.82.
Le port TCP 22 est presque universellement associé à SSH. L'adresse IP en question est liée à une infrastructure légitime (par exemple des fournisseurs cloud ou SaaS), mais des discussions en ligne l'avaient associée à un dénommé « GhostContainer ». GhostContainer est une porte dérobée ciblant les serveurs Microsoft Exchange, documentée par des chercheurs en sécurité. Elle offre aux attaquants un accès distant persistant aux environnements Exchange, avec notamment la capacité d'exécuter des commandes et de se déplacer latéralement.
Bien que la machine du consultant ne soit pas un serveur Exchange, la présence d'un comportement de type SSH sur le port TCP 22 vers une adresse associée aux publications sur GhostContainer, combinée au beaconing préalable de l'hôte vers des domaines suspects liés à une infrastructure étatique, suggère que le poste de travail a pu faire partie d'une panoplie plus large utilisée par les mêmes acteurs qui déploient GhostContainer ailleurs, ou servir de point de rebond ou de nœud d'observation pour surveiller ou piloter des opérations côté Exchange depuis un terminal de confiance.
Cela correspond au schéma d'une compromission de cible à haute valeur : plutôt que de simplement voler des fichiers, les attaquants voulaient potentiellement disposer d'une machine de confiance dans l'environnement, utilisable pour pivoter, observer les actions de réponse à incident, ou maintenir leur accès pendant même que les systèmes de l'entreprise étaient durcis.
Tentative d'installation d'un certificat racine frauduleux
Le consultant s'est également souvenu d'une tentative d'installation d'une autorité de certification (CA) racine frauduleuse.
C'est un détail crucial. Un certificat de CA racine est l'un des points d'ancrage qu'utilisent les systèmes d'exploitation et les navigateurs pour décider si une connexion chiffrée (par exemple HTTPS) est digne de confiance. Si un attaquant parvient à installer son propre certificat racine malveillant sur un système, il peut :
- Intercepter et déchiffrer un trafic TLS normalement sécurisé (par exemple messagerie web, tableaux de bord, portails d'administration).
- Présenter de faux certificats pour des domaines arbitraires (par exemple outlook.com, vpn.entreprise.com) que le système compromis considérera comme valides.
En pratique, cela permettrait aux attaquants de mener des attaques de l'homme du milieu (MITM) sur les connexions de la victime sans déclencher d'avertissements de certificat, et de lire ou d'altérer des communications sensibles, y compris les fils d'e-mails de réponse à incident, les systèmes de tickets et d'autres échanges confidentiels. La tentative d'installation d'une CA racine est un indicateur fort d'une volonté de persistance et de surveillance, et non d'un simple vol éclair.
Pourquoi cette personne a été ciblée
La victime n'a pas été choisie au hasard. L'examen par Intrace des références du dark web et du contexte a révélé qu'elle était explicitement étiquetée comme cible à haute valeur. Ce statut découlait vraisemblablement de ses précédents travaux de réponse à incident sur une affaire majeure de rançongiciel.
Du point de vue d'un attaquant, compromettre une personne disposant d'une visibilité approfondie sur les défenses et les processus de réponse offre du renseignement sur la manière dont les défenseurs détectent certaines intrusions et y répondent, un levier potentiel ou un moyen de représailles contre quelqu'un qui a auparavant perturbé leurs opérations, et un accès à des réseaux de contacts et à une documentation précieux, même s'ils résident principalement sur les systèmes de l'entreprise, car le poste de travail personnel sert souvent de canal parallèle.
Cette combinaison de ciblage personnel, d'infrastructure liée à l'Iran, de beaconing vers des domaines parqués, de tentatives de CA racine frauduleuse et de comportements de type porte dérobée est cohérente avec une intrusion délibérée en plusieurs étapes, et non avec un malware d'infection aléatoire.
Comment Intrace a structuré l'enquête
Du point de vue d'Intrace, l'enquête a suivi une structure claire :
Captation du signal sur le dark web
- Détecter le nom d'hôte et la désignation de cible à haute valeur dans les données liées à Water Black.
- Confirmer que l'hôte référencé appartient à un consultant d'Optiv.
Corrélation d'infrastructure
- Localiser l'hôte waterblack dans le centre de données du Wyoming détenu par des intérêts iraniens.
- Cartographier les domaines parqués associés résolvant vers le même fournisseur.
- Recouper avec les publications antérieures sur l'implication de l'hébergeur auprès de groupes liés à des gouvernements.
Télémétrie et comportement de l'hôte
- Examiner les connexions sortantes vers des domaines parqués sur plusieurs semaines.
- Identifier MicrosoftSecurityApp.exe comme processus suspect et analyser son comportement au moment de la mise en place du blocage réseau.
- Passer en revue les entrées de registre, y compris les références AppX à Game Bar, FTP et SSH.
Artefacts réseau et liens avec des outils externes
- Relever le trafic TCP 22 vers 52.98.240.82 et sa mention dans les discussions autour de GhostContainer.
- Évaluer si le comportement observé s'inscrit dans un schéma de porte dérobée ou de mouvement latéral.
Intégrité de la confiance et de la cryptographie
- Enquêter sur la tentative d'installation d'une CA racine frauduleuse.
- Évaluer le risque d'interception continue du trafic chiffré.
Recommandations de confinement et de durcissement
- Isoler le poste de travail des environnements sensibles.
- Supprimer les binaires et entrées de registre suspects.
- Réinitialiser les identifiants et renforcer l'authentification multifacteur.
- Imposer des contrôles DNS et de sortie stricts, avec surveillance des nouveaux domaines parqués et du trafic SSH suspect.
- Auditer les certificats de confiance de la machine et révoquer toute CA non autorisée.
Résultat
En combinant renseignement du dark web, analyse d'infrastructure, investigation forensique de l'hôte et interprétation minutieuse des artefacts réseau, Intrace a pu reconstituer le chemin de compromission et clarifier comment un consultant d'Optiv est devenu la victime ciblée d'une activité de menace liée à l'Iran. L'affaire a mis en lumière plusieurs points :
- Les appareils personnels des professionnels de la sécurité peuvent devenir des cibles stratégiques.
- Les domaines parqués et les hébergeurs obscurs peuvent servir d'infrastructure C2 discrète.
- Les tentatives d'installation de certificats racines frauduleux et l'exploitation de composants Windows intégrés comme Game Bar traduisent des objectifs d'accès furtif et durable, et non du simple bruit.
Optiv a utilisé ces conclusions pour contenir l'incident, durcir l'environnement du consultant et ajuster sa logique de détection afin de rechercher des schémas similaires sur d'autres terminaux et chez d'autres clients.