Source: Center for Security Studies (CSS), ETH Zürich — Ce rapport (novembre 2025) cartographie et analyse les opérations cyber visant le secteur spatial dans le contexte de la guerre de Gaza (et recoupements avec Ukraine et Israël–Iran), en s’appuyant sur un jeu de données de 237 événements.

  • Principaux constats: 237 opérations identifiées; 71% de DDoS; aucune compromission confirmée de satellites en orbite (impacts concentrés sur les segments utilisateur, contrôle et interfaces web). Au total 77 entités spatiales ciblées et 73 groupes impliqués, majoritairement des hacktivistes pro‑palestiniens; pic d’activité de 72 opérations durant la guerre Israël–Iran (juin 2025); effet limité sur le champ de bataille cinétique.

  • Cibles et zones: Predominance d’attaques contre des entreprises aérospatiales/défense (Elbit, Rafael, IAI, Orbit, Gilat), agences (ISA, NASA, ISRO) et services en aval (forums, portails). Israël (68%) et États‑Unis (14%) concentrent la plupart des cibles, avec des actions corrélées touchant R.-U., Inde, É.A.U., etc. Les opérations pro‑israéliennes identifiées sont marginales dans l’échantillon.

  • Acteurs et modes opératoires: Activité dominée par des hacktivistes sans liens étatiques avérés (p.ex. Mr.Hamza, GhostSec, Bangladesh Civilian Force). Tactiques: DDoS, intrusions, fuites/ventes de données, ventes d’accès non autorisés, défigurations, Man‑in‑the‑Middle, ransomware (très minoritaire). Les campagnes sont souvent déclaratives (forte auto‑attribution), avec une dimension d’influence (recyclage de données/fuites, diffusion d’images satellites publiques) et un mimétisme des pratiques vues en Ukraine.

  • Points saillants sectoriels: Intérêt marqué pour les GNSS et équipements utilisateurs (ex.: accès non autorisé et vulnérabilités de récepteurs CHCNAV). Starlink cristallise des enjeux techno‑politiques (déploiements en Israël, débat sur Gaza et Yémen, menaces de DDoS/fuites). Un cas controversé attribué à Cyber Isnaad Front revendique des intrusions chez Spacecom et Gilat avec exfiltration massive et accès à station de contrôle, mais les éléments fournis restent incohérents/contestables.

  • Tendances et signaux faibles: montée d’un écosystème hacktiviste intéressé par la « cybersécurité spatiale », brouillage des frontières cyber/influence, recyclage/fabrication de fuites (accentué par l’IA), copie de tactiques d’autres conflits, intérêt croissant pour des outils de hacking satellite. Les interférences RF (p.ex. spoofing GPS), bien que hors périmètre cyber, ont été massives autour d’Israël et de l’Iran, contrastant avec la faible létalité des opérations cyber observées contre le spatial.

Type d’article: Publication de recherche visant à documenter et analyser les opérations cyber contre le secteur spatial dans un contexte de conflit armé.

IoCs et TTPs

  • IoCs (extraits du rapport):
    • CVE GNSS CHCNAV P5E: CVE-2022-30623, CVE-2022-30624, CVE-2022-30625, CVE-2022-30626, CVE-2022-30627.
  • Outils/implants cités: AcidRain (wiper ViaSat, contexte Ukraine 2022), outils DDoS type Toffan (inspiré d’UAshield), services de vérification Check-Host.
  • TTPs: DDoS, intrusions (accès IT, ventes d’accès), fuites/ventes de données, défigurations, MITM, ransomware (rare), exploitation de failles web/produits GNSS, campagnes d’influence et auto‑attribution via Telegram/X, mimicry inter‑conflits.

🧠 TTPs et IOCs détectés

TTP

DDoS, intrusions (accès IT, ventes d’accès), fuites/ventes de données, défigurations, Man-in-the-Middle, ransomware (rare), exploitation de failles web/produits GNSS, campagnes d’influence et auto-attribution via Telegram/X, mimicry inter-conflits

IOC

CVE-2022-30623, CVE-2022-30624, CVE-2022-30625, CVE-2022-30626, CVE-2022-30627

🔗 Source originale : https://css.ethz.ch/en/center/CSS-news/2025/11/breaking-the-final-frontier-cyber-operations-against-the-space-sector.html