La CTU™ a enquêté sur un groupe d’activités signalées sur Twitter le 24 février, qui présentaient des traits communs avec les activités antérieures de COBALT ILLUSION. Un certain nombre de personnes impliquées dans la recherche sur les droits de l’homme et les affaires politiques en Iran ont signalé des interactions suspectes à partir du même compte Twitter. Les cibles ont été contactées par une personne utilisant le nom de Sara Shokouhi et le @SaShokouhi, qui leur a parlé de contribuer à un rapport de l’Atlantic Council, un groupe de réflexion américain. Il est à noter que les cibles étaient toutes des femmes activement impliquées dans les affaires politiques et les droits de l’homme dans la région du Moyen-Orient.

Le mode opératoire de COBALT ILLUSION consiste à cibler des universitaires, des journalistes, des défenseurs des droits de l’homme, des militants politiques, des organisations intergouvernementales (OIG) et des organisations non gouvernementales (ONG) qui s’intéressent à l’Iran. Ils interagissent avec les cibles sur différentes plateformes de messagerie, envoyant d’abord des liens et des documents bénins, puis un lien ou un document malveillant pour hameçonner des informations d’identification pour les systèmes auxquels COBALT ILLUSION cherche à accéder. Grâce à cet accès, le groupe recueille des données et des renseignements qui sont utilisés pour faire avancer l’agenda des groupes gouvernementaux iraniens.

Le compte @SaShokouhi existe depuis octobre 2022. Il tweete ou s’engage dans des messages de soutien aux manifestations pro Mahsa Amini en Iran. Le compte a partagé du contenu au fil du temps afin de s’assurer qu’il semble sympathique aux intérêts et aux demandes des manifestants et créer une illusion d’intérêts partagés, y compris l’utilisation cynique de contenu choquant tel que des images d’enfants morts, des violences subies par les manifestants, des commentaires anti-gouvernement iranien et du symbolisme anti-iranien.

"Les acteurs de la menace créent une fausse personne et l’utilisent pour établir une relation avec les cibles avant de tenter de leur soutirer des informations d’identification ou de déployer des logiciels malveillants sur leur appareil. Avoir un personnage convaincant est un élément important de cette tactique. Dans le cas présent, nous avons pu confirmer que le personnage de Sara Shokouhi avait été créé à partir d’images volées sur un compte Instagram appartenant à un psychologue et lecteur de cartes de tarot basé en Russie", a déclaré Rafe Pilling, Chercheur Principal et Responsable Thématique pour l’Iran au sein de la CTU de Secureworks.

"Le phishing et la collecte massive de données sont des tactiques essentielles de COBALT ILLUSION. Nous avons vu cela se produire sous plusieurs formes au cours des dernières années. Le groupe entreprend la collecte de renseignements, souvent centrés sur humain, comme l’extraction du contenu des boîtes aux lettres, des listes de contacts, des plans de voyage, des relations, de l’emplacement physique, etc. Ces renseignements sont probablement combinés à d’autres sources et utilisés pour informer les opérations militaires et de sécurité menées par l’Iran, tant à l’étranger qu’à l’intérieur du pays. Ces opérations peuvent aller de la surveillance, l’arrestation et la détention, jusqu’aux assassinats ciblés", conclut M. Pilling.

Depuis au moins 2014, Secureworks CTU surveille COBALT ILLUSION qui a ciblé de nombreuses personnes avec de fausses identités sur les médias sociaux et des campagnes d’hameçonnage.