Iran

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...

Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran. ...

Iranintl.com rapporte qu’une cyberattaque survenue pendant la guerre Iran-Israël a gravement affecté les banques iraniennes Sepah et Pasargad. Cette attaque a détruit les données bancaires, paralysant les services à l’échelle nationale et déclenchant une réponse d’urgence par une entreprise de logiciels bancaires iranienne. Selon Hamidreza Amouzegar, ingénieur chez Dotin, le centre de données principal de Sepah Bank est devenu inopérant, avec des tableaux de bord de surveillance figés et des données corrompues. Les tentatives de basculement vers le site de récupération en cas de catastrophe ont échoué, les dommages étant similaires. ...

L’article publié par Nariman Gharib révèle une fuite massive de données provenant des serveurs internes d’Amnban, une entreprise iranienne prétendument spécialisée en cybersécurité, dévoilant son rôle dans une opération d’espionnage cybernétique sponsorisée par l’État iranien. Les données volées montrent qu’Amnban, sous couvert de services de sécurité, mène des attaques systématiques sur des compagnies aériennes internationales telles que Royal Jordanian, Turkish Airlines et Wizz Air, pour le compte du groupe de hackers APT39, lié au Ministère iranien du Renseignement et de la Sécurité (MOIS). ...

Selon un article publié par Techcrunch, le gouvernement iranien a décidé de couper l’accès à Internet pour la majorité de sa population suite à des cyberattaques récentes. Les attaques ont visé des infrastructures critiques, notamment Bank Sepah et la plateforme d’échange de cryptomonnaies Nobite. Cette décision a entraîné une quasi-totalité de coupure d’Internet en Iran, rendant difficile l’accès à l’information sur le conflit en cours avec Israël et la communication avec l’extérieur. ...

Selon un article publié par Iran International, la télévision d’État iranienne a été victime d’une attaque informatique le mercredi soir, perturbant brièvement ses programmes habituels avec des vidéos appelant à des manifestations de rue. Des images circulant sur les réseaux sociaux montrent des clips à thème protestataire interrompant la programmation régulière. Cet incident souligne l’utilisation de la cyberattaque comme moyen de dissémination de messages politiques et de mobilisation sociale. La télévision d’État a attribué ces perturbations à une interférence ennemie avec les signaux satellites, indiquant que l’attaque était limitée aux transmissions par satellite. ...