Vous êtes victime d'une attaque ?
En début de semaine, nous avons rédigé un billet sur les cyberaffaires dans le contexte de la guerre israélo-américaine contre l'Iran, intitulé "Operation Epic Fury" (Opération fureur épique). Nous y observions que les acteurs de la menace parrainés par des États réagiraient fortement contre les organisations occidentales présentes au Moyen-Orient, en représailles à ces attaques.
Toutefois, une analyse récente des chercheurs en renseignements sur les menaces révèle une augmentation notable de la cyberactivité malveillante depuis notre dernier article de blog, attribuée au groupe Seedworm (également connu sous les noms de MuddyWater, Temp Zagros ou Static Kitten), un groupe de menaces persistantes avancées (APT) aligné sur l'État iranien. Cette activité a directement affecté de nombreuses organisations américaines dans des secteurs critiques et s'inscrit dans le cadre de tensions géopolitiques accrues à la suite des récentes actions militaires au Moyen-Orient.
Principales conclusions -
1. Organisations américaines et alliées ciblées
L'activité du ver des semences, détectée pour la première fois au début du mois de février 2026, a été observée dans plusieurs réseaux de grande importance :
- Une banque américaine
- Un aéroport américain
- Une société américaine de logiciels (avec une présence israélienne)
- des organisations à but non lucratif aux États-Unis et au Canada.
Ces intrusions se sont poursuivies jusqu'au début du mois de mars, ce qui indique que la campagne est active et continue.
2. Portes dérobées et logiciels malveillants nouvellement identifiés
Les chercheurs ont identifié plusieurs familles de logiciels malveillants déployés dans les environnements des victimes :
- Porte dérobée Dindoor :
o Inconnue jusqu'à présent
o Utilise le runtime Deno JavaScript/TypeScript
o Trouvée dans la succursale israélienne de l'éditeur de logiciels ciblé, dans une banque américaine et dans une association canadienne à but non lucratif.
o Signé avec un certificat délivré à "Amy Cherne".
- Porte dérobée fictive (basée sur Python) :
o Trouvée dans l'aéroport américain et dans une autre organisation à but non lucratif
o Signée avec des certificats liés à "Amy Cherne" et "Donald Gay" (précédemment utilisés dans le logiciel malveillant Seedworm)
- Chaîne de logiciels malveillants Stagecomp → Darkcomp :
o Également signé à l'aide du certificat "Donald Gay
o Liée à Seedworm par les principaux fournisseurs, notamment Google, Microsoft et Kaspersky.
Ces implants de logiciels malveillants démontrent l'existence d'un ensemble d'outils diversifiés et indiquent un ciblage délibéré de la chaîne d'approvisionnement, des finances et des infrastructures critiques.
3. Tentatives d'exfiltration de données
Dans un cas au moins, les attaquants ont tenté d'exfiltrer des données de l'éditeur de logiciels ciblé à l'aide de Rclone vers un espace de stockage en nuage Wasabi, bien que le succès de cette tentative n'ait pas été confirmé.
4. Infrastructure et diffusion
- La diffusion des logiciels malveillants s'est appuyée sur les serveurs de stockage en nuage de Backblaze, ce qui indique que Seedworm utilise une infrastructure en nuage réputée pour le contrôle des commandes et la distribution des charges utiles.
- L'utilisation de certificats de signature de code (y compris des certificats malveillants observés précédemment) suggère un effort persistant pour paraître légitime et contourner la détection.
Tactiques, techniques et procédures (TTP) et indicateurs de compromission (IOC)
MuddyWater évolue constamment pour échapper à la détection, en s'appuyant sur un mélange de logiciels malveillants personnalisés et de techniques de survie.
- Accès initial :Il utilise principalement le spearphishing avec des documents macro-activés (ZIP, PDF, XLSM), en utilisant souvent des leurres comme de fausses offres d'emploi.
- Exécution et persistance :Utilise fortement PowerShell obfusqué, le chargement latéral de DLL (par exemple, goopdate.dll) et des outils RMM tels qu'Atera ou ScreenConnect. Ils compilent souvent le code sur les machines cibles pour éviter la détection par fichier.
- Malware Arsenal :Déploie des outils tels que POWERSTATS, Mori, Canopy (Starwhale), MuddyRot, UDPGangster et Phoenix.
- Évasion de la défense :Utilise des outils anti-analyse/anti-forensics, y compris la détection des bacs à sable et l'effacement des journaux.
Campagnes et développements récents (2025-2026)
- Opération Olalampo (février 2026) :Ciblage d'entités de premier plan.
- Ciblage :Les campagnes en cours ciblent des entités financières/gouvernementales occidentales et moyen-orientales.
- Mobile :Lié à DCHSpy, un logiciel espion modulaire pour Android.
TTPs actuelles et antérieures et observées -
1. Familles de logiciels malveillants / portes dérobées
Ces familles de logiciels malveillants ont été observées sur plusieurs réseaux de victimes américains, canadiens et israéliens :
- Dindoor Backdoor - porte dérobée inconnue utilisant le runtime Deno JavaScript/TypeScript.
- Fakeset Backdoor - porte dérobée basée sur Python déployée dans les aéroports américains et les réseaux d'organisations à but non lucratif.
- Stagecomp Loader → Darkcomp Backdoor - Stagecomp dépose et charge Darkcomp ; lié à Seedworm par Google, Microsoft et Kaspersky.
2. Certificats de signature de code malveillants
Seedworm est connu pour son utilisation abusive de certificats de signature de code frauduleux ou compromis. Les certificats suivants étaient directement liés à cette campagne :
- Certificat délivré à "Amy Cherne" - utilisé pour signer les portes dérobées Dindoor et Fakeset.
- Certificat délivré à "Donald Gay" - utilisé pour signer les logiciels malveillants Fakeset et Stagecomp, déjà vus dans l'activité de Seedworm.
3. Infrastructure malveillante ou suspecte
Hébergement des données utiles (Backblaze B2 Cloud Storage)
Utilisé comme serveur de distribution de logiciels malveillants :
- gitempire.s3.us-east-005.backblazeb2.com
- elvenforest.s3.us-east-005.backblazeb2.com
Destination de l'exfiltration de données (Rclone vers Wasabi Cloud Storage)
- Tentative d'exfiltration en utilisant :
rclone copy CSIDL_DRIVE_FIXED\backups wasabi :[REMOVED]:/192.168.0.x
Qu'est-ce que cela montre ?
Cette campagne montre que les acteurs iraniens ont clairement l'intention d'infiltrer les réseaux des États-Unis et de leurs alliés dans les secteurs de la finance, de l'aviation, des logiciels et des organisations à but non lucratif. La combinaison de nouvelles portes dérobées, de familles de logiciels malveillants connues, de C2 en nuage et de tentatives d'exfiltration suggère une approche opérationnelle en plusieurs étapes, visant probablement un accès à long terme, l'espionnage ou de futures actions perturbatrices.
Si vous êtes préoccupé par l'une des menaces décrites dans le présent bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ouprenez contact avec luipour savoir comment vous pouvez protéger votre organisation.
