Whisper utilise un compte de messagerie Web compromis sur un serveur Microsoft Exchange pour établir des communications avec les attaquants via des pièces jointes d’e-mails. PrimeCache fonctionne également comme une porte dérobée sous forme de module IIS malveillant et présente des similitudes notables avec la porte dérobée RDAT du groupe APT OilRig.

Ces similitudes de code et d’autres preuves conduisent ESET à considérer BladedFeline comme un sous-groupe d’OilRig, groupe APT aligné sur l’Iran qui cible les gouvernements et entreprises du Moyen-Orient. Les outils utilisés reflètent une stratégie axée sur la persistance et la discrétion dans les réseaux infiltrés. BladedFeline maintient un accès illicite et persistant aux diplomates kurdes, tout en exploitant simultanément un fournisseur de télécommunications ouzbek et en développant ses accès aux responsables gouvernementaux irakiens.

Les motivations de BladedFeline sont l’espionnage gouvernemental, utilisant un accès stratégique aux systèmes des hauts fonctionnaires kurdes et irakiens. Les relations diplomatiques kurdes avec l’Occident et les réserves pétrolières du Kurdistan constituent des cibles attractives pour les acteurs iraniens, tandis qu’en Irak, ces derniers cherchent probablement à contrer l’influence occidentale post-invasion américaine.

En 2023, ESET avait déjà documenté les activités de BladedFeline contre les diplomates kurdes utilisant la porte dérobée Shahmaron. Actif depuis 2017 au minimum avec le compromis d’officiels du gouvernement régional du Kurdistan, ce groupe n’est pas le seul sous-groupe d’OilRig surveillé par ESET, qui suit également Lyceum (aussi connu sous le nom HEXANE ou Storm-0133), spécialisé dans le ciblage d’organisations israéliennes gouvernementales et de santé.

ESET anticipe que BladedFeline continuera de développer ses implants pour maintenir et étendre ses accès aux systèmes compromis à des fins d’espionnage.