Campagne de cyberespionnage de Subtle Snail
Incident survenu en septembre 2025
L’entreprise de cybersécurité suisse PRODAFT rapporte que le groupe Subtle Snail (aussi appelé UNC1549), lié au Corps des gardiens de la révolution islamique de l’Iran, a mené en septembre 2025 une campagne de cyberespionnage contre des organisations des secteurs des télécommunications, de l’aérospatial et de la défense au Canada, en France, aux Émirats arabes unis, au Royaume-Uni et aux États-Unis.
Subtle Snail a tout d’abord mené une campagne de reconnaissance sur LinkedIn pour identifier les victimes potentielles au sein des organisations visées. Celles-ci ont par la suite été contactées par courriel, ce qui a permis à Subtle Snail de valider les adresses courriel et d’obtenir de l’information supplémentaire sur les victimes. Subtle Snail a ensuite créé des faux profils de recruteurs sur LinkedIn pour leurrer les victimes et les inviter à soumettre leur candidature. Celles et ceux qui manifestaient leur intérêt pour la fausse offre d’emploi ont ensuite reçu des courriels d’harponnage contenant un nom de domaine frauduleux. En cliquant sur celui-ci, les victimes téléchargaient à leur insu une archive compressée (ex. Application.zip, TimeTable.zip, TimeScheduler.zip) contenant un programme malveillant menant à l’installation d’une porte dérobée (une variante de MINIBIKE). L’attaque, qui a compromis 34 appareils au sein de 11 organisations, était destinée à maintenir un accès durable aux systèmes des organisations et à exfiltrer des données sensibles à des fins d'espionnage stratégique.
Type d'incident : Cyberespionnage
Type de cible : Secteur privé
Origine présumée : Iran
Auteur présumé : Subtle Snail (UNC1549)
