Des officiels irakiens visés par Dust Specter et ses nouveaux RATs .NET pilotés par IA

Janvier 2026, des officiels irakiens se font piéger par une campagne qui se fait passer pour le ministère des Affaires étrangères. Le nom qui revient chez les chercheurs: Dust Specter, un acteur lié à l’écosystème iranien, avec une attribution jugée « medium-to-high confidence ». Le truc n’a rien d’un spam de masse. On parle de cibles à forte valeur, de leurres crédibles, et de charges utiles hébergées sur de l’infrastructure gouvernementale compromise.

Le détail qui pique, c’est la boîte à outils. Quatre malwares jamais documentés avant: SPLITDROP, TWINTASK, TWINTALK et GHOSTFORM. Et au milieu, des traces qui font penser à du code pondu avec de l’IA générative: emojis, unicode, style de dev pas vraiment « propre ». Du coup, on n’est plus juste sur de la planification assistée, mais sur du code opérationnel qui tourne chez la cible.

Le faux « ministère » et l’archive mofa-Network-code. rar

Première chaîne d’infection: une archive RAR protégée par mot de passe, au nom bien choisi, « mofa-Network-code. rar ». Visuellement, ça mime un document interne du ministère. Quand tu ouvres, tu tombes sur un binaire. NET qui se fait passer pour WinRAR. Nom de famille: SPLITDROP. Et pendant que tu crois lancer un outil, lui déchiffre un payload embarqué avec de l’AES-256 et dépose des fichiers sur la machine.

Le côté vicieux, c’est la mise en scène. SPLITDROP affiche un faux message d’erreur du style « The download did not complete successfully ». Toi, tu te dis « ok, ça a foiré », tu passes à autre chose. Sauf que derrière, la chaîne continue: TWINTASK et TWINTALK prennent le relais comme backdoors. On est sur du. NET custom, pas un trojan recyclé vu mille fois, ce qui complique la vie des équipes qui cherchent des signatures toutes faites.

Et ça colle à un classique régional: les Affaires étrangères irakiennes sont une cible historique pour des groupes liés à l’Iran, avec des précédents attribués à des familles comme APT34. Ce n’est pas une preuve à elle seule, mais quand tu ajoutes la victimologie, les techniques et les recoupements d’infrastructure, tu comprends pourquoi les analystes montent le curseur de confiance. Perso, je note surtout un point: l’attaquant investit du temps, donc il attend un retour sur info très concret.

TWINTASK, TWINTALK, puis GHOSTFORM qui avale tout

Dans la première approche, c’est une architecture en morceaux: SPLITDROP pour déposer, TWINTASK et TWINTALK pour maintenir l’accès et communiquer. Dans la seconde, Dust Specter simplifie et durcit avec GHOSTFORM, un RAT. NET unique qui consolide les capacités des trois autres. Moins de pièces, moins de traces, plus simple à opérer. Et il pousse plus loin la discrétion et l’arnaque sociale, avec un leurre qui ressemble à une procédure interne.

GHOSTFORM peut ouvrir une URL Google Forms intégrée en dur, avec un faux formulaire en arabe présenté comme un questionnaire officiel pour des agents du ministère. C’est bête comme chou, mais ça marche: tu mets la cible dans une posture « administrative », tu l’occupes, tu réduis sa vigilance. Et pendant ce temps, le RAT gère ses temporisations. Il utilise un délai « jitter » pour éviter un rythme trop régulier, sauf qu’il ne passe pas par les API d’attente Windows classiques.

À la place, il crée une mini-fenêtre Windows de 1015 pixels, quasi transparente, invisible dans la barre des tâches, et s’appuie sur un timer pour ralentir l’exécution avant de revenir à sa boucle principale. C’est le genre de détail qui montre une vraie intention d’évasion, pas juste un malware « fonctionnel ». La nuance, quand même: ces astuces ne rendent pas l’attaque indétectable. Elles la rendent juste plus coûteuse à analyser, et plus facile à rater si tu relies tout à des alertes trop basiques.

ClickFix, PowerShell, C2 filtré: une campagne pensée pour durer

Dust Specter n’est pas resté coincé sur l’archive RAR. Les chercheurs relient aussi le groupe à une opération de juillet 2025 basée sur une technique ClickFix. Le principe: une page web qui mime une invitation à une réunion « Webex for Government ». Tu crois régler un souci de connexion, et on te pousse à exécuter une commande PowerShell. Là, tu fais toi-même le boulot du malware. Social engineering pur, et ça reste redoutablement efficace sur des environnements pressés.

La commande télécharge un binaire malveillant et crée une tâche planifiée qui s’exécute toutes les deux heures. Deux heures, c’est un rythme pratique: assez fréquent pour garder la main, pas trop bruyant pour éviter d’allumer des gyrophares. Côté commande et contrôle, l’opération utilise des chemins d’URI générés aléatoirement, avec des valeurs de checksum ajoutées pour vérifier que la requête vient d’une machine infectée. Et le serveur C2 ajoute des contrôles de User-Agent et même du geofencing.

Traduction: si tu n’es pas au bon endroit, ou si ton trafic ressemble à celui d’un sandbox, le C2 peut refuser de jouer. Résultat, les équipes de défense voient moins de choses, moins vite. Et le vrai sujet derrière l’étiquette « IA »: les analystes ont trouvé des empreintes de génération automatique dans le code, avec unicode et emojis, un style franchement atypique pour un dev de malware traditionnel. Ça ne veut pas dire que l’IA fait tout, mais ça veut dire qu’elle accélère. Et dans une région où l’espionnage numérique est déjà un sport quotidien, ça change le tempo.