De nouvelles découvertes révèlent qu’un acteur de la menace parrainé par l’État et prétendument affilié à l’Iran est lié à une série d’attaques ciblées visant des fournisseurs de services Internet (FSI) et des opérateurs de télécommunications en Tunisie , en Israël, au Maroc et en Arabie saoudite, ainsi qu’un ministère des Affaires étrangères en Afrique, rapporte le site « Hackers News ».
Les intrusions, organisées par un groupe connu sous le nom de Lyceum, se seraient produites entre juillet et octobre 2021, selon les chercheurs du groupe Accenture Cyber Threat Intelligence (ACTI) et de l’Adversarial Counterintelligence Team (PACT) de Prevailion, dans un rapport technique. Les noms des victimes n’ont pas été divulgués.
ACTI et PACT ont également déclaré avoir localisé fin octobre 2021 des signaux de balisage provenant d’une porte dérobée Lyceum reconfigurée ou potentiellement nouvelle, provenant d’une société de télécommunications en Tunisie , ce qui indique que les opérateurs mettent activement à jour leurs portes dérobées à la lumière des récentes divulgations publiques et tentent de contourner la détection par les logiciels de sécurité.
« Lyceum continuera probablement à utiliser les portes dérobées Shark et Milan, bien qu’avec quelques modifications, car le groupe a probablement réussi à maintenir des points d’ancrage dans les réseaux des victimes malgré la divulgation publique d'[indicateurs de compromission] associés à ses opérations », ont déclaré les chercheurs, cités par la même source.
