Israël

🔍 Contexte Source : Profero Threat Intelligence, publiée le 24 mai 2026. L’article documente une opération de sabotage combinée IT/OT menée contre une usine de production alimentaire israélienne, attribuée avec haute confiance à Cyber Isnaad Front, persona opérée par ou aux côtés d’Aria Sepehr Ayandehsazan (ASA), successeur de l’entité sanctionnée Emennet Pasargad, affiliée à l’IRGC. 🎭 Acteur de la menace Cyber Isnaad Front : persona arabophone présentée comme un collectif hacktiviste pro-palestinien, active depuis juin 2025 Opérée par/avec ASA (Aria Sepehr Ayandehsazan), successeur d’Emennet Pasargad (sanctionné par l’OFAC pour ingérence électorale US 2020) Modèle opératoire : hack-and-leak public + destruction silencieuse en arrière-plan Cibles déclarées : sous-traitants défense israéliens, logistique carburant (~5 To), opérateurs télécom (>160 clients data center) 💻 Volet IT : malware GRAT (Go Remote Access Toolkit) GRAT est un binaire Go unique (~10,4 Mo) intégrant 11 sous-systèmes : ...

🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

🔍 Contexte Darktrace a publié le 16 avril 2026 une analyse technique détaillée d’un échantillon de malware se désignant lui-même comme ZionSiphon. L’analyse a été conduite par Calum Hall (Cyber Analyst). Le hash VirusTotal de l’échantillon est disponible publiquement. 🎯 Ciblage et motivations Le malware présente un ciblage géographique explicitement orienté vers Israël, avec des plages IPv4 hardcodées correspondant à des blocs d’adresses israéliens : 2.52.0.0 - 2.55.255.255 79.176.0.0 - 79.191.255.255 212.150.0.0 - 212.150.255.255 Deux chaînes encodées en Base64 révèlent des motivations idéologiques pro-Iran/Palestine/Yémen et une intention déclarée d’empoisonner les populations de Tel Aviv et Haïfa. L’auteur se désigne sous le pseudonyme “0xICS”. ...

Selon calcalistech.com (Hofit Cohen Azulay), une cyberattaque a visé des écrans d’affichage publicitaire sur les quais des gares d’Herzliya et de Shalom à Tel-Aviv. 🖥️ Les assaillants, estimés être des hackers iraniens, ont pris le contrôle des écrans et diffusé de faux messages annonçant des attaques de missiles et ordonnant l’évacuation. ⚠️ Les écrans ont été rapidement mis hors ligne. Parallèlement, l’agence iranienne Fars a relayé une fausse allégation affirmant que l’ensemble du réseau ferroviaire israélien avait été piraté et mis hors service. ...

Selon The Register, s’appuyant sur les analyses d’Acronis Threat Research Unit (TRU), une campagne de smishing en Israël distribue depuis le 1er mars une application d’alerte aux roquettes « Red Alert » trojanisée, déguisée en mise à jour urgente de « Oref Alert ». Les autorités (Israeli National Cyber Directorate) et les grands médias israéliens ont émis des avertissements. • Vecteur d’infection 🚨: des SMS usurpant « Oref Alert » avec ID d’expéditeur spoofé et lien bit.ly redirigeant vers un spyware Android au lieu d’une mise à jour légitime de Red Alert. ...

Selon The Jerusalem Post, l’Armée israélienne (IDF) va durcir les règles d’usage mobile pour ses cadres et interdire les téléphones Android sur les lignes fournies par l’IDF, en n’autorisant que les iPhone pour les communications officielles des commandants à partir du grade de lieutenant-colonel. Objectif annoncé : réduire le risque d’intrusions sur les terminaux des officiers seniors et standardiser l’OS afin de simplifier les contrôles et mises à jour de sécurité. Army Radio indique que la directive est attendue dans les prochains jours. Les délais et exceptions n’ont pas été détaillés publiquement, et il n’y a pas eu de commentaire immédiat sur l’éventuelle couverture des appareils personnels utilisés au travail. ...

Source: The Guardian (enquête conjointe avec +972 Magazine et Local Call). Contexte: un contrat cloud de 1,2 Md$ signé en 2021 (Project Nimbus) entre Israël, Google et Amazon. • Le « winking mechanism » 🔐: Israël aurait exigé un système d’alerte secret où Google et AWS enverraient une compensation spéciale sous forme de paiements codés « dans les 24 heures » après la transmission de données israéliennes à des autorités étrangères sous ordonnance de non-divulgation. Le montant correspondrait à l’indicatif téléphonique du pays (entre 1 000 et 9 999 shekels), avec un filet de sécurité à 100 000 shekels si le pays ne peut être révélé. ...

Selon The Guardian (enquête conjointe avec +972 Magazine et Local Call), Microsoft a mis fin à l’accès d’Unit 8200 (renseignement militaire israélien) à certains services Azure et d’IA, après la mise au jour d’un programme de surveillance de masse des communications de civils palestiniens utilisant l’infrastructure cloud de l’entreprise. Décision de Microsoft: à la suite d’une enquête interne urgente, Microsoft a « cessé et désactivé un ensemble de services » pour une unité du ministère israélien de la défense, incluant stockage cloud et services d’IA. Brad Smith a affirmé: « Nous ne fournissons pas de technologie pour faciliter la surveillance de masse des civils. » ...

Selon Fortinet (FortiMail Workspace Security), une campagne ciblée vise des organisations israéliennes en abusant d’infrastructures email compromises pour diffuser des leurres menant à une fausse page Microsoft Teams. L’objectif est d’amener l’utilisateur à déclencher des commandes PowerShell (« ClickFix ») qui installent un RAT entièrement basé sur PowerShell. 🚨 Nature de l’attaque: des emails de phishing redirigent vers une page Microsoft Teams factice. Le mécanisme « ClickFix » incite l’utilisateur à exécuter des commandes PowerShell encodées en Base64, amorçant une chaîne d’infection multi‑étapes. L’attribution potentielle pointe vers les acteurs MuddyWater, sans confirmation définitive. ...