Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware

1 minute de lecture

Mis à jour : March 05, 2026

Campagne d’espionnage Dust Specter visant les officiels irakiens

Le groupe de menace « Dust Specter », probablement affilié à l’Iran, cible des responsables gouvernementaux irakiens par le biais d’usurpations d’identité du ministère des Affaires étrangères. Cette campagne utilise des techniques d’ingénierie sociale sophistiquées et des outils malveillants inédits pour infiltrer les systèmes gouvernementaux.

Points clés :

Mode opératoire : Utilisation d’archives RAR protégées par mot de passe ou de tactiques de type « ClickFix » (invitations frauduleuses à copier-coller des scripts PowerShell).
Infrastructure : Compromission d’infrastructures gouvernementales irakiennes pour héberger des charges utiles, avec recours à la géolocalisation et à la vérification d’User-Agent pour sécuriser les serveurs de commande et contrôle (C2).
Innovation : Utilisation probable d’outils d’intelligence artificielle générative pour le développement du code source des malwares.

Malwares identifiés :

SPLITDROP : Dropper .NET initial.
TWINTASK / TWINTALK : Système modulaire utilisant le chargement de DLL légitimes (sideloading) et une communication par fichiers texte pour l’exécution de commandes et l’exfiltration.
GHOSTFORM : Évolution consolidée des précédents, opérant intégralement en mémoire pour éviter les traces sur disque.

Vulnérabilités exploitées :

Bien qu’aucune CVE spécifique ne soit mentionnée, l’attaque repose sur des failles opérationnelles :
- DLL Sideloading : Exploitation de binaires légitimes (vlc.exe, WingetUI.exe) pour charger des DLL malveillantes.
- Exécution de scripts : Abus des capacités de PowerShell pour l’exécution de charges distantes et la persistance.

Recommandations :

Sensibilisation : Former les utilisateurs à la méfiance vis-à-vis des invitations à exécuter des scripts PowerShell, notamment dans le cadre de prétendues visioconférences.
Contrôle des privilèges : Restreindre l’exécution de PowerShell et surveiller les modifications suspectes du registre Windows.
Filtrage réseau : Bloquer les communications vers des domaines non autorisés ou suspects (ex: meetingapp[.]site).
Analyse comportementale : Détecter le chargement de DLL non signées par des applications légitimes (sideloading) et surveiller les créations de fichiers dans des répertoires sensibles comme C:\ProgramData.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware

Campagne d’espionnage Dust Specter visant les officiels irakiens

Partager sur

Vous pourriez aimer

[Webinar] Eliminate Ghost Identities Before They Expose Your Enterprise Data

Sécurisation des identités non-humaines : le risque des « comptes fantômes »

Payouts King ransomware uses QEMU VMs to bypass endpoint security

L’utilisation détournée de QEMU par le ransomware Payouts King

NAKIVO v11.2: Ransomware Defense, Faster Replication, vSphere 9, and Proxmox VE 9.0 Support

Optimisation de la cyber-résilience avec NAKIVO v11.2

Mirai Variant Nexcorium Exploits CVE-2024-3721 to Hijack TBK DVRs for DDoS Botnet

Propagation du botnet Nexcorium via l’exploitation de failles IoT