L’entreprise de cybersécurité PRODAFT révèle les dessous d’une vaste opération de cyberespionnage visant le secteur des télécommunications et attribuée à des hackers iraniens. Au moins une entreprise française ferait partie des victimes de cette campagne, menée à l’aide de faux profils RH créés sur LinkedIn.

Et si, derrière le bandeau violet « Hiring », se cachait en réalité un cyberespion au service du régime de Téhéran ?

D’après les chercheurs de l’entreprise de cybersécurité suisse PRODAFT, un groupe de hackers iraniens aurait pris pour cible plusieurs entreprises des télécommunications, notamment en Europe.

Pour infiltrer ce secteur hautement stratégique, les pirates se seraient fait passer pour des recruteurs sur LinkedIn, approchant des employés en prétendant être à la recherche de nouveaux talents.

Une campagne de phishing ultra-ciblée, mêlant collecte d’informations et déploiement de malwares espions. Selon l’étude, parue le 17 septembre 2025, au moins 34 appareils auraient été compromis dans 11 organisations à travers le monde, du Canada aux Émirats arabes unis, en passant par le Royaume-Uni et la France.

bitdefender-logo
BIT BOX 3
Vos données méritent d’être mieux protégées.
Les escroqueries, les virus et les ransomwares ne sont plus une fatalité. Protégez votre vie privée et vos données personnelles avec Bitdefender et profitez de votre vie numérique en toute sérénité.
Voici comment protéger ma vie privée
Fausses fiches de poste et pages d'authentification créées lors de la campagne de cyberespionnage // Source : Prodaft
Fausses fiches de poste et pages d’authentification créées lors de la campagne de cyberespionnage // Source : Prodaft

Des échanges réguliers pour gagner la confiance des victimes

Dans cette attaque, la première phase consiste en la reconnaissance des cibles, et c’est précisément dans ce contexte que LinkedIn devient un outil précieux pour les cyberespions iraniens.

Ils identifient le personnel clé au sein des organisations visées, en ciblant particulièrement les chercheurs, les développeurs et les administrateurs informatiques disposant d’un accès privilégié aux systèmes critiques et aux environnements de développement.

La seconde phase est celle du lancement de la fausse campagne de recrutement. Les attaquants créent de faux profils RH et prennent contact avec leurs cibles potentielles. Pour ne pas éveiller les soupçons, ils ne proposent pas immédiatement d’offre d’emploi, mais instaurent progressivement un climat de confiance afin d’augmenter leurs chances de réussite. Cette campagne se distingue par le soin apporté par les hackers, qui adaptent leurs messages en fonction de chaque victime.

Si la cible manifeste un intérêt, elle est ensuite recontactée par mail pour fixer un entretien. Elle est alors redirigée vers un site frauduleux, imitant des entreprises légitimes comme le groupe Safran. La saisie d’informations pour remplir le formulaire déclenche automatiquement le téléchargement d’une archive ZIP piégée.

Le fichier contient un programme piégé qui, une fois ouvert, installe un logiciel espion appelé MINIBIKE. D’après les analyses techniques de PRODAFT, ce malware permet aux pirates de rester discrètement présents sur les machines infectées. Et, ce sur une longue période : « Ils ne se contentent pas d’infecter les appareils ; ils recherchent activement des données sensibles et des moyens de préserver leur accès. ».

Un groupe déjà connu des chercheurs en menaces cyber

Cette campagne est d’autant plus marquante qu’elle ait attribuée à un groupe de cyberespions accusé d’être directement affilié au Corps des gardiens de la révolution islamique (CGRI) iranien.

PRODAFT les surnomme Subtle Nail, Mandiant les répertorie pour le moment comme activité UNC1549.

Le groupe partagerait de nombreuses caractéristiques avec APT42 (alias Charming Kitten, Educated Manticore…), déjà impliqué dans des campagnes d’infiltration ciblant des secteurs stratégiques, en utilisant systématiquement l’ingénierie sociale comme principale arme d’attaque.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !