Une campagne de cyber-espionnage baptisée RedKitten, attribuée à un acteur lié à l’Iran, cible des ONG et des activistes impliqués dans la documentation des manifestations récentes dans le pays. Analysée par HarfangLab, l’opération met en lumière une évolution des menaces avancées, marquée par l’usage d’outils et de techniques probablement assistés par l’intelligence artificielle.
Une campagne liée aux tensions politiques en Iran
Les chercheurs de HarfangLab ont identifié, début janvier 2026, une activité de cyber-espionnage ciblée visant des organisations non gouvernementales et des individus engagés dans la défense des droits humains et la documentation des violences survenues lors des manifestations en Iran à la fin de l’année 2025. Baptisée RedKitten, cette campagne est attribuée à un acteur parlant farsi, soupçonné d’être aligné avec des intérêts étatiques iraniens.
Des documents piégés pour exploiter un contexte émotionnel
Le vecteur d’infection initial repose sur l’envoi d’archives compressées contenant des fichiers Microsoft Excel au format XLSM. Présentés comme des listes de victimes ou des documents liés aux manifestations, ces fichiers incitent les destinataires à activer les macros afin d’accéder à leur contenu. Cette approche exploite directement le contexte émotionnel et politique des cibles, augmentant les chances d’exécution du code malveillant malgré les alertes de sécurité intégrées aux outils bureautiques.
Un implant modulaire dissimulé derrière des services légitimes
Une fois les macros activées, un implant développé en C#, baptisé SloppyMIO par les chercheurs, est déployé sur les systèmes compromis. Celui-ci établit une communication avec son infrastructure de commande et de contrôle en s’appuyant sur des services grand public, notamment l’API de bots Telegram. Des modules complémentaires sont ensuite récupérés depuis des plateformes légitimes comme GitHub ou Google Drive, parfois dissimulés par des techniques de stéganographie, afin de limiter les signaux de détection.
L’IA comme accélérateur dans la conception du malware
L’analyse du code révèle plusieurs éléments suggérant un recours à des outils d’intelligence artificielle dans la phase de développement. Les macros VBA observées présentent un style homogène, des structures cohérentes et des choix de nommage évoquant une génération assistée par des modèles de type LLM. Selon HarfangLab, l’IA ne serait pas utilisée pour piloter l’attaque de manière autonome, mais comme un outil d’accélération, permettant de produire plus rapidement des composants fonctionnels et adaptés à un contexte précis.
Une évolution discrète mais structurante des menaces avancées
La campagne RedKitten illustre parfaitement une tendance déjà évoquée dans nos colonnes, autour du cyber-espionnage contemporain. L’exploitation d’infrastructures publiques complique les stratégies de blocage, tandis que l’intégration progressive de l’IA dans les chaînes de développement offensives renforce l’agilité des attaquants. Sans révolution brutale, ces signaux faibles traduisent une montée en maturité des opérations ciblées, à l’intersection du social engineering, de la discrétion opérationnelle et de l’assistance algorithmique.
