CRESCENTHARVEST Campaign Targets Iran Protest Supporters With RAT Malware

3 minute de lecture

Mis à jour : February 20, 2026

Campagne CRESCENTHARVEST : Cyberespionnage contre les sympathisants des manifestations iraniennes

Une nouvelle campagne de cyberespionnage, nommée CRESCENTHARVEST, vise les partisans des manifestations en Iran. Elle utilise des logiciels malveillants de type RAT (Remote Access Trojan) pour le vol d’informations et l’espionnage à long terme. Détectée depuis janvier, cette campagne exploite les développements géopolitiques récents pour inciter les victimes à ouvrir des fichiers .LNK malveillants déguisés en images ou vidéos liées aux manifestations. Ces fichiers sont accompagnés de médias authentiques et d’un rapport en farsi sur la situation en Iran, dans le but de gagner la confiance et d’attirer les Iraniens locuteurs de farsi cherchant des informations sur les protestations.

Bien que non attribuée officiellement, CRESCENTHARVEST est soupçonnée d’être l’œuvre d’un groupe de menaces aligné sur l’Iran. C’est la deuxième campagne identifiée ciblant spécifiquement des individus suite aux manifestations nationales iraniennes. L’accès initial au malware n’est pas connu, mais il est probable que les acteurs de la menace utilisent le spear-phishing ou des efforts d’ingénierie sociale prolongés pour établir un rapport avec les victimes avant d’envoyer les charges utiles malveillantes.

Le processus d’attaque commence par une archive RAR malveillante contenant des informations sur les manifestations. Elle inclut deux fichiers .LNK qui se font passer pour des fichiers image ou vidéo, utilisant un double-extension trompeur (par exemple, *.jpg.lnk). Une fois lancés, ces fichiers exécutent du code PowerShell pour télécharger une autre archive ZIP. Pendant ce temps, une image ou une vidéo inoffensive s’ouvre, faisant croire à la victime que l’interaction était bénigne.

Dans l’archive ZIP se trouve un exécutable légitime de Google (utilisé pour l’utilitaire de nettoyage de Chrome) qui charge plusieurs fichiers DLL. Deux de ces DLL sont particulièrement notables :

urtcbased140d_d.dll : un implant C++ qui extrait et déchiffre les clés de chiffrement liées aux applications de Chrome. Ce fichier montre des similarités avec le projet open-source ChromElevator.
version.dll (CRESCENTHARVEST) : un outil d’accès à distance qui répertorie les antivirus installés, énumère les comptes utilisateurs, charge des DLL, collecte des métadonnées système, des identifiants de navigateur, des données de session Telegram et enregistre les frappes clavier.

CRESCENTHARVEST communique avec son serveur de commande et contrôle (C2) via des API Win HTTP de Windows, lui permettant de se fondre dans le trafic réseau légitime.

Points Clés :

Campagne : CRESCENTHARVEST
Cible : Sympathisants des manifestations en Iran.
Objectif : Vol d’informations, espionnage à long terme.
Méthode d’attaque : Ingénierie sociale, spear-phishing, fichiers .LNK malveillants déguisés, DLL side-loading.
Malware : RAT (Remote Access Trojan) et voleur d’informations.
Langue : Utilisation du farsi pour l’ingénierie sociale.
Tendance : S’inscrit dans une tendance de cyberespionnage d’état présumé visant journalistes, activistes, chercheurs et diasporas.

Vulnérabilités :

Aucune vulnérabilité CVE spécifique n’est mentionnée dans l’article, mais la technique de DLL side-loading est exploitée, ainsi que la tromperie par double extension pour les fichiers .LNK.

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes pour les utilisateurs finaux, il met en évidence la nécessité de :

Prudence face aux fichiers inattendus : Être très vigilant quant à l’ouverture de fichiers, en particulier ceux reçus par des canaux non vérifiés ou qui semblent suspects, même s’ils sont liés à des sujets d’actualité.
Vérification des extensions de fichiers : Porter une attention particulière aux extensions de fichiers pour détecter les tentatives de déguisement.
Conscience des tactiques d’ingénierie sociale : Reconnaître que les acteurs malveillants peuvent exploiter les événements actuels et les liens personnels pour manipuler les utilisateurs.
Mises à jour de sécurité : Maintenir les systèmes d’exploitation et les logiciels de sécurité à jour pour se prémunir contre les menaces connues.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CRESCENTHARVEST Campaign Targets Iran Protest Supporters With RAT Malware

Campagne CRESCENTHARVEST : Cyberespionnage contre les sympathisants des manifestations iraniennes

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)