Comment la porte dérobée MURKYTOUR cible les demandeurs d'emploi

En octobre 2024, une cybercampagne hautement ciblée et habilement camouflée a émergé, révélant le déploiement d'une porte dérobée furtive appelée MURKYTOUR . L'opération, révélée par le cabinet de renseignement sur les menaces Mandiant, met en lumière l'évolution constante des tactiques des acteurs pro-État et leur recours privilégié à la tromperie comme outil principal sur le champ de bataille numérique.

La campagne a été attribuée à un groupe identifié comme UNC2428, un cybercriminel proche des intérêts iraniens. Leur approche n'était pas un simple e-mail d'hameçonnage : il s'agissait d'une stratégie d'ingénierie sociale nuancée et profondément trompeuse, présentant une fausse offre d'emploi pour attirer des individus sans méfiance, notamment en Israël.

Qu'est-ce que MURKYTOUR ?

MURKYTOUR est une porte dérobée, un type de logiciel malveillant permettant l'accès et le contrôle non autorisés d'un appareil à l'insu de l'utilisateur. Dans ce cas précis, il a été installé discrètement après que les victimes ont participé à ce qui semblait être une procédure de candidature légitime. Les attaquants se sont fait passer pour une entreprise de défense israélienne réputée, Rafael, et ont invité les demandeurs d'emploi à soumettre leurs informations d'identification via une fausse plateforme en ligne.

Lorsque les victimes ont téléchargé et lancé le programme d'installation, déguisé en « RafaelConnect.exe », elles ont découvert une interface professionnelle conçue pour gagner leur confiance. Cette application, en réalité un programme d'installation leurre appelé LONEFLEET , demandait aux utilisateurs de saisir des informations personnelles et de télécharger un CV. Cependant, en coulisses, un autre outil appelé LEAFPILE a déclenché le déploiement furtif de MURKYTOUR, offrant aux attaquants un accès durable à l'ordinateur de la victime.

Pourquoi est-ce important ?

La porte dérobée MURKYTOUR n'est pas un simple malware : elle illustre la sophistication psychologique croissante du cyberespionnage. Plutôt que d'utiliser des tactiques brutales, des acteurs comme UNC2428 utilisent l'ingénierie sociale – manipulant les individus pour qu'ils effectuent des actions qu'ils n'auraient normalement pas effectuées – pour pénétrer discrètement les systèmes.

Les implications de telles tactiques sont vastes. Cibler des individus par des leurres d'embauche permet aux attaquants d'accéder à des organisations sensibles en trompant les employés ou les demandeurs d'emploi liés à ces réseaux. Une fois l'accès obtenu, les acteurs malveillants peuvent recueillir des renseignements, voler des données confidentielles ou préparer une infiltration plus poussée.

Une stratégie plus large en jeu

MURKYTOUR n'a pas été déployé de manière isolée. Il fait partie des plus de 20 souches de logiciels malveillants identifiées par Mandiant comme étant utilisées par des acteurs malveillants liés à l'Iran en 2024. Cette initiative plus vaste inclut des groupes comme UNC3313 et APT42 , qui se sont également concentrés sur l'ingénierie sociale, le spear-phishing et l'utilisation abusive d'outils logiciels légitimes pour rester indétectables.

Par exemple, UNC3313 a utilisé des formations et des webinaires pour attirer ses victimes, diffusant des logiciels malveillants via des plateformes de partage de fichiers familières. De son côté, APT42 s'est attaché à imiter les principaux services web comme Google et Microsoft pour récupérer des identifiants. Ces tactiques révèlent une tendance : les cyberopérateurs pro-iraniens utilisent des usurpations d'identité réalistes et convaincantes pour contourner les défenses de sécurité traditionnelles.

De plus, l'infrastructure cloud est devenue un environnement privilégié pour les opérations de commandement et de contrôle. En dissimulant leurs activités sur des plateformes couramment utilisées par les entreprises, les attaquants compliquent la détection des comportements inhabituels par les équipes de sécurité.

Implications pour les individus et les organisations

L'incident de MURKYTOUR nous rappelle brutalement la nécessité de la vigilance, surtout dans des situations apparemment banales, comme postuler à un emploi. Les cyberattaquants ciblent de plus en plus la couche de sécurité humaine, sachant qu'elle constitue souvent le maillon faible.

Pour les organisations, cela implique bien plus que le simple déploiement d'antivirus ou de pare-feu. Il est essentiel de former et de sensibiliser continuellement le personnel, en particulier dans les secteurs fréquemment ciblés par les acteurs étatiques, tels que la défense, la santé, la finance et les technologies.

Les processus de recrutement et de RH deviennent également une ligne de front inattendue en matière de cyberdéfense. Les entreprises doivent vérifier l'authenticité des plateformes d'emploi tierces et surveiller les tentatives d'usurpation d'identité. De même, les candidats potentiels doivent se méfier des messages de recrutement inattendus et consulter les offres d'emploi sur les sites web officiels des entreprises.

Réflexions finales

La campagne MURKYTOUR est un cas d'école de cyberespionnage moderne. Elle allie prouesse technique et manipulation psychologique, exploitant la confiance et les processus routiniers pour s'implanter. Face à l'évolution constante des cybermenaces, il est essentiel de comprendre ce type de campagnes pour anticiper les prochaines attaques des acteurs malveillants agissant pour le compte des États-nations.

La meilleure défense ? La vigilance, la vigilance et une bonne dose de scepticisme, surtout lorsque l’offre semble trop belle pour être vraie.

Par Willa
April 24, 2025
Trojan
Français
April 24, 2025
Trojan

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.