SECURITY.COM, dans un contexte d’escalade militaire entre les États‑Unis/Israël et l’Iran fin février 2026, détaille une campagne en cours depuis début février attribuée à l’APT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activités ont été observées sur les réseaux d’une banque américaine, d’un aéroport américain, d’ONG aux US et au Canada, et de la filiale israélienne d’un éditeur logiciel US.
🚨 Détails techniques et artifacts clés
- Backdoor inconnue baptisée Dindoor, basée sur le runtime Deno (JavaScript/TypeScript), repérée chez l’éditeur (cible en Israël), une banque US et une ONG canadienne; signée avec un certificat au nom « Amy Cherne ».
- Tentative d’exfiltration chez l’éditeur via Rclone vers un bucket Wasabi (commande observée:
rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). - Autre backdoor Python nommée Fakeset sur les réseaux de l’aéroport US et d’une ONG US; signée avec « Amy Cherne » et « Donald Gay » (ce dernier déjà lié à Seedworm). Téléchargements depuis Backblaze B2:
gitempire.s3.us-east-005.backblazeb2.cometelvenforest.s3.us-east-005.backblazeb2.com. - Le certificat « Donald Gay » a aussi servi à signer Stagecomp (loader) qui déploie Darkcomp; ces familles sont associées à Seedworm (Google, Microsoft, Kaspersky).
🌍 Paysage de menace élargi et contexte
- L’UK NCSC alerte que des acteurs iraniens conservent des capacités et met en garde contre des hacktivistes liés à l’Iran. Le groupe Handala aurait utilisé Starlink pour rester en ligne (depuis mi‑janvier 2026).
- Historique récent: Seedworm a mené en 10/2025 un spear-phishing massif livrant la backdoor Phoenix (C2 hébergeant PDQ RAT et un voleur d’identifiants), et en 2025 des campagnes ciblant universitaires et experts (usurpation « Suzzane Maloney »).
- Autres acteurs alignés: Marshtreader/Agrius (recherche de caméras vulnérables CVE‑2023‑6895/CVE‑2017‑7921 pour reconnaissance), DieNet (DDoS haute volumétrie), Druidfly/Homeland Justice (wipers, ex. BibiWiper contre Israël; chevauchements TTP : HTTPSnoop, AnyDesk, ScreenConnect, ReGeorg).
🔭 Ce à quoi s’attendre (scénarios probables)
- DDoS et défigurations à fort impact médiatique visant administrations, municipalités, aéroports/ports, logistique, banques, telcos, médias et marques symboliques.
- Attaques d’identifiants (password spraying, compromission de boîtes mail), exploitation de vulnérabilités et persistance discrète sur des environnements sensibles, y compris CNI (OT, planification/logistique, réseaux de contractants, systèmes de gestion à distance).
- Hack‑and‑leak / psyops avec fuites partielles et revendications amplifiées; risque de destruction (wipers) ciblant énergie/utilities, transport/logistique, finance, télécoms, santé, défense.
🧩 IOCs et TTPs
-
TTPs principaux:
- Déploiement de backdoors custom (Dindoor via Deno; Fakeset en Python).
- Abus de certificats de signature (« Amy Cherne », « Donald Gay »).
- Exfiltration cloud via Rclone vers Wasabi; récupération de charges depuis Backblaze B2.
- Chaîne Stagecomp → Darkcomp; usage d’outils PDQ, AnyDesk, ScreenConnect, ReGeorg.
- Méthodes d’accès: password spraying, spear‑phishing/honeytrap, web shells, scans/ploitation d’appliances en périmètre.
- Opérations DDoS, défigurations, wipers (ex. BibiWiper), hack‑and‑leak.
-
Hashes (Dindoor/Fakeset/Stagecomp/Darkcomp):
- Dindoor: 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542; 1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1; 2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043; 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5; 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f; 7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4; 7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef; b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0; bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a; c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e
- Fakeset: 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de; 15061036c702ad92b56b35e42cf5dc334597e7311e98d2fdd3815a69ac3b1d84; 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6; 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be; 64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb; 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1; 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d; 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444; a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377; a5d4d6be3bfe0cba23fe6b44984b5fc9c7c7e10030be96120bb30da0f2545d4c; ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888
- Stagecomp: 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14; A92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
- Darkcomp: 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90; 1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6
-
Indicateurs réseau:
- gitempire.s3.us-east-005.backblazeb2[.]com
- elvenforest.s3.us-east-005.backblazeb2[.]com
- uppdatefile[.]com
- serialmenot[.]com
- moonzonet[.]com
En synthèse, il s’agit d’une analyse de menace consolidant les activités récentes attribuées à des acteurs iraniens (notamment Seedworm), leurs cibles, outils, TTPs, et les IOCs associés, dans un but d’information des défenseurs.
🧠 TTPs et IOCs détectés
TTPs
[‘Déploiement de backdoors custom (Dindoor via Deno; Fakeset en Python)’, ‘Abus de certificats de signature (Amy Cherne, Donald Gay)’, ‘Exfiltration cloud via Rclone vers Wasabi’, ‘Récupération de charges depuis Backblaze B2’, ‘Chaîne Stagecomp → Darkcomp’, ‘Usage d’outils PDQ, AnyDesk, ScreenConnect, ReGeorg’, ‘Méthodes d’accès: password spraying, spear-phishing/honeytrap, web shells, scans/exploitation d’appliances en périmètre’, ‘Opérations DDoS, défigurations, wipers (ex. BibiWiper), hack-and-leak’]
IOCs
{‘hashes’: {‘Dindoor’: [‘0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542’, ‘1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1’, ‘2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043’, ‘2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5’, ‘42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f’, ‘7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4’, ‘7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef’, ‘b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0’, ‘bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a’, ‘c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e’], ‘Fakeset’: [‘077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de’, ‘15061036c702ad92b56b35e42cf5dc334597e7311e98d2fdd3815a69ac3b1d84’, ‘2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6’, ‘4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be’, ‘64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb’, ‘64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1’, ‘74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d’, ‘94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444’, ‘a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377’, ‘a5d4d6be3bfe0cba23fe6b44984b5fc9c7c7e10030be96120bb30da0f2545d4c’, ‘ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888’], ‘Stagecomp’: [‘24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14’, ‘A92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0’], ‘Darkcomp’: [‘3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90’, ‘1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6’]}, ‘domains’: [‘gitempire.s3.us-east-005.backblazeb2.com’, ’elvenforest.s3.us-east-005.backblazeb2.com’, ‘uppdatefile.com’, ‘serialmenot.com’, ‘moonzonet.com’]}
🔗 Source originale : https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us