Seedworm (Iran) actif depuis févrierxa02026xa0: backdoors Dindoor/Fakeset, exfiltration cloud et IOCs publiés
SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/Israël et l’Iran fin février 2026, détaille une campagne en cours depuis début février attribuée à l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activités ont été observées sur les réseaux d’une banque américaine, d’un aéroport américain, d’ONG aux US et au Canada, et de la filiale israélienne d’un éditeur logiciel US. 🚨 Détails techniques et artifacts clés Backdoor inconnue baptisée Dindoor, basée sur le runtime Deno (JavaScript/TypeScript), repérée chez l’éditeur (cible en Israël), une banque US et une ONG canadienne; signée avec un certificat au nom « Amy Cherne ». Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observée: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommée Fakeset sur les réseaux de l’aéroport US et d’une ONG US; signée avec « Amy Cherne » et « Donald Gay » (ce dernier déjà lié à Seedworm). Téléchargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi à signer Stagecomp (loader) qui déploie Darkcomp; ces familles sont associées à Seedworm (Google, Microsoft, Kaspersky). 🌍 Paysage de menace élargi et contexte ...