Un groupe de pirates informatiques basé en Iran nommé Chafer, surveillé depuis 2015 par la société de sécurité informatique américaine Symantec, a visé de nouvelles entreprises ou organisations au Moyen-Orient en 2017 à des fins d'espionnage, selon la société américaine.
Les attaques, qui visaient surtout à «collecter des informations ou faciliter la surveillance» d'individus, ont notamment touché «un important fournisseur de services télécoms dans la région» et une grande entreprise internationale de réservation de voyages, a affirmé Symantec.
Les neuf entreprises ou organisations visées étaient situées en Israël, en Jordanie, aux Émirats arabes unis, en Arabie saoudite et en Turquie. Symantec a également trouvé des preuves d'attaque contre une compagnie aérienne africaine.
Les pirates essaient visiblement d'avancer le long de chaînes de sous-traitants et d'entreprises clientes, de relais en relais vers la cible finale.
En attaquant une entreprise de services télécom dont sont clients de nombreux opérateurs télécoms au Moyen-Orient, Chafer visait peut-être en réalité non pas ces entreprises, mais l'espionnage des consommateurs finaux, estime Symantec.
Conformément à sa politique qui est de fournir des preuves techniques des attaques, mais de ne pas les attribuer, Symantec ne donne aucun détail sur l'identité des pirates ni sur leurs liens éventuels avec le gouvernement iranien.
Avec la Russie, la Corée du Nord et la Chine, l'Iran fait partie des quatre pays dont sont originaires la plupart des cyberattaques mondiales, selon les experts occidentaux.
L'Iran est soupçonné notamment d'avoir été impliqué dans les attaques en 2012 contre le secteur saoudien de l'énergie, dont le géant pétrolier Saudi Aramco.
Les pirates de Chafer ont utilisé notamment la technique de l'hameçonnage ciblé, envoyant des courriels avec des documents Excel malveillants. Ils ont également détourné un certain nombre de logiciels gratuits comme UltraVNC.
Symantec estime que Chafer est actif «depuis au moins 2014».