Iran

🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H). ...

Contexte — Source The Jerusalem Post (article signé par Dr. Itay Gal, 28 février 2026) : lors d’attaques aériennes visant des centres de commandement du CGRI, une cyberoffensive parallèle a plongé l’Iran dans une quasi‑panne numérique nationale. — L’attaque est présentée comme sans précédent et aurait combiné guerre électronique, attaques par déni de service (DDoS) et intrusions profondes dans des systèmes liés à l’énergie et à l’aviation. Selon NetBlocks, la connectivité Internet en Iran a chuté à environ 4% du trafic normal, signalant un quasi‑arrêt national. 🌐 ...

Selon WIRED Middle East (28 février 2026), au moment de frappes aériennes israéliennes et américaines en Iran, l’app de prière BadeSaba Calendar (5+ millions de téléchargements sur Google Play) a diffusé des notifications push non sollicitées appelant des forces iraniennes à se rendre, avec le titre récurrent « Help is on the way ». — Contexte et faits principaux Type d’attaque : compromission d’une application mobile et abus du canal de notifications push. Produit concerné : BadeSaba Calendar (application de calcul des horaires de prière). Timeline : premières notifications à 9h52 (heure de Téhéran), sur ~30 minutes, avec des messages promettant l’« amnistie » en cas de reddition et appelant à rejoindre des « forces de libération ». Attribution : aucune revendication. Des analystes (Miaan Group) confirment la réception de notifications mais jugent l’attribution « complexe » et prématurée. Analyse d’expert : Morey Haber (BeyondTrust) estime que la compromission a probablement été préparée en amont et que le déclenchement a été stratégiquement synchronisé avec les frappes. — Impact et portée ...

Source et contexte: ynetnews.com rapporte que des émissions de plusieurs chaînes d’État iraniennes reçues par satellite ont été brièvement piratées pour afficher des messages d’opposition et des déclarations du prince Reza Pahlavi, alors que l’Iran fait face à une coupure quasi totale d’Internet depuis le 8 janvier. Faits principaux: L’opposition (Iran International) indique que la diffusion des chaînes via le satellite Badr a été hijackée quelques minutes. Des vidéos de manifestations et des slogans tels que « People of Iran, continue your struggle » et « Europe is with you! » sont apparus, ainsi qu’un appel direct aux forces armées à ne pas tirer sur la population. Une image du président Masoud Pezeshkian a aussi été diffusée avec un message l’interpellant. ...

Source et contexte: Rest of World rapporte qu’à partir du 8 janvier, l’Iran a déployé des brouilleurs GPS militaires qui ont réduit jusqu’à 80% les performances de Starlink, outil présenté comme quasi impossible à censurer, selon Amir Rashidi (Miaan Group). L’épisode s’inscrit dans un blackout national avec une répression violente des protestations. 📉 Impact réseau et censure: Cloudflare a observé un effondrement de 98,5% du trafic internet iranien en 30 minutes après le début de la coupure; NetBlocks confirme une connectivité non-satellite sous 2% de la normale. Environ 85 millions de personnes ont été coupées du monde extérieur. Téhéran a instauré un système de « liste blanche » offrant un accès sélectif aux médias alignés, tandis que le compte X de l’ayatollah Ali Khamenei restait actif. L’Internet Society recense 17 coupures depuis 2018. ...

Source: BleepingComputer — L’article rapporte que le groupe de hackers iranien parrainé par l’État, MuddyWater, a mené des attaques contre plus de 100 entités gouvernementales en déployant la version 4 du backdoor Phoenix. ⚠️ Acteur et portée: Le groupe MuddyWater (étatique, Iran) a ciblé plus de 100 entités gouvernementales. L’information met l’accent sur l’ampleur de la campagne et l’identité de l’acteur. 🧰 Outil malveillant: Les attaques ont impliqué le déploiement de Phoenix v4, une porte dérobée (backdoor) utilisée pour maintenir un accès persistant et contrôler à distance les systèmes compromis. ...

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...

Selon blog.narimangharib.com (Nariman Gharib, 22.08.2025), le groupe Lab‑Dookhtegan a mené en août une opération ayant coupé et endommagé durablement les communications de 64 navires iraniens (39 pétroliers NITC et 25 cargos IRISL), après une première campagne revendiquée en mars contre 116 bâtiments. Les preuves techniques partagées au blog attestent d’un accès aux systèmes de Fanava Group, prestataire IT fournissant les liaisons satellites de la flotte. 🛰️🚢 Les assaillants n’ont pas attaqué les navires individuellement mais ont compromis l’infrastructure centrale de Fanava, obtenant un accès root à des terminaux Linux exécutant le logiciel satellite iDirect (version 2.6.35). Des extractions MySQL montrent une cartographie détaillée de la flotte (navire par navire, modem par modem) avec numéros de série et identifiants réseau. Le ciblage du logiciel « Falcon », cœur de la continuité des liaisons, a permis de mettre hors service les communications des bâtiments. ...

Les chercheurs de Lookout ont mis en lumière une campagne sophistiquée de logiciel espion Android, nommée DCHSpy, attribuée au groupe de menaces iranien Static Kitten. Cette campagne cible spécifiquement les utilisateurs mobiles iraniens en exploitant des applications VPN et Starlink trompeuses, distribuées via des campagnes de phishing. DCHSpy est actif depuis octobre 2023, en plein conflit régional, et est conçu pour exfiltrer des données sensibles telles que les messages WhatsApp, les données de localisation, les photos et les journaux d’appels. Le malware exploite des tactiques d’ingénierie sociale et tire parti de la demande d’accès Internet non censuré en Iran. ...

Iranintl.com rapporte qu’une cyberattaque survenue pendant la guerre Iran-Israël a gravement affecté les banques iraniennes Sepah et Pasargad. Cette attaque a détruit les données bancaires, paralysant les services à l’échelle nationale et déclenchant une réponse d’urgence par une entreprise de logiciels bancaires iranienne. Selon Hamidreza Amouzegar, ingénieur chez Dotin, le centre de données principal de Sepah Bank est devenu inopérant, avec des tableaux de bord de surveillance figés et des données corrompues. Les tentatives de basculement vers le site de récupération en cas de catastrophe ont échoué, les dommages étant similaires. ...