Le groupe iranien MuddyWater a mené en février-mars 2026 une campagne d’espionnage ciblée utilisant deux nouveaux malwares, Dindoor et Fakeset, contre des organisations financières, aéroportuaires et de défense aux États-Unis, en Israël et au Canada.

🌐 Contexte

Rapport publié le 20 mars 2026 par Krypt3ia, analysant une campagne d’intrusion conduite entre février et mars 2026 par le groupe iranien MuddyWater (aussi connu sous les alias Seedworm, MERCURY, Static Kitten, MOIST KEYCHAIN, Mango Sandstorm), aligné avec le Ministère du Renseignement et de la Sécurité iranien (MOIS).

🎯 Victimologie

Les cibles confirmées sont :

  • Une institution financière américaine
  • Un aéroport américain
  • Une organisation à but non lucratif canadienne
  • La filiale israélienne d’une entreprise logicielle américaine au service de clients défense et aérospatiale

🛠️ Malwares et outils utilisés

  • Dindoor : backdoor utilisant le runtime Deno (JavaScript/TypeScript), conçu pour contourner les contrôles de détection calibrés sur PowerShell et Python
  • Fakeset : implant Python-based, réutilisant des certificats de signature de code liés aux familles Stagecomp et Darkcomp de MuddyWater
  • Rclone : outil légitime utilisé pour l’exfiltration de données vers un bucket Wasabi cloud storage
  • Infrastructure de staging via Backblaze B2

🔍 Infrastructure réseau

Modèle hybride combinant :

  • Services légitimes : deno.land, dl.deno.land, deno.com, backblazeb2.com
  • Domaines suspects : uppdatefile.com (typosquatting), moonzonet.com (staging), serialmenot.com (redirection/distribution de trafic)
  • Utilisation de Cloudflare fronting et Let’s Encrypt pour rotation rapide

⚙️ Techniques opérationnelles

  • Exécution via environnement non standard (Deno) pour éviter la détection
  • Réduction des indicateurs statiques (pas de C2 fixe)
  • Utilisation de cloud légitime pour staging et exfiltration
  • Réutilisation de certificats de signature de code pour continuité de la chaîne d’attribution
  • Spearphishing, DLL sideloading, abus de scripts, harvesting de credentials

📋 Type d’article

Il s’agit d’une analyse de menace produite par un analyste indépendant (Krypt3ia), visant à documenter et attribuer une campagne d’espionnage iranienne active, avec extraction d’IOCs et alignement MITRE ATT&CK.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • MuddyWater (state-sponsored)

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1059.006 — Command and Scripting Interpreter: Python (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1105 — Ingress Tool Transfer (Command and Control)
  • T1567.002 — Exfiltration Over Web Service: Exfiltration to Cloud Storage (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • Domaines : deno.land
  • Domaines : dl.deno.land
  • Domaines : deno.com
  • Domaines : backblazeb2.com
  • Domaines : uppdatefile.com
  • Domaines : moonzonet.com
  • Domaines : serialmenot.com
  • URLs : https://app.any.run/tasks/7109f95d-0ded-486d-b960-7746ff43357c
  • URLs : https://app.any.run/tasks/18657ac8-35b1-46be-91b3-6d5b89e4c529
  • URLs : https://app.any.run/tasks/2aea5a2b-8896-491e-aa0c-a0775838a3cc
  • URLs : https://app.any.run/tasks/acba3305-d6db-4ce8-82c7-b64ce78a0f49
  • URLs : https://app.any.run/tasks/cc068d45-0b6d-4341-be23-d0fded91d463
  • URLs : https://app.any.run/tasks/dd8354f2-121d-4ca6-9a21-342d98cd5e75
  • URLs : https://app.any.run/tasks/635099a7-6185-4d91-b19f-5bd3eac7b569
  • URLs : https://app.any.run/tasks/56bfa25e-751e-4806-a444-e2b8587a920f
  • URLs : https://app.any.run/tasks/e1833116-914e-435a-b2d3-a4252b627955
  • URLs : https://app.any.run/tasks/7b26bf81-9a0a-4302-b8f1-3bc70b1cc37c
  • URLs : https://app.any.run/tasks/01aeaa8d-1a52-43cd-9b85-c9d065c0f2cd
  • URLs : https://app.any.run/tasks/c086fc3f-efff-4fe6-a681-009fc01d7611
  • URLs : https://app.any.run/tasks/a5f599ba-1d6c-4c55-a03c-6d0de8dbed04
  • URLs : https://app.any.run/tasks/c905f05a-3d53-499a-baba-f83bdcab0998
  • URLs : https://app.any.run/tasks/639bc43a-75a6-4324-86ec-5d6a1db4c1b0
  • URLs : https://app.any.run/tasks/9212ebe8-43ce-4402-b34a-498db035730f
  • URLs : https://app.any.run/tasks/97d1959d-53bc-4eb6-911f-843835f45050
  • URLs : https://app.any.run/tasks/a1e3b0f4-dadf-4920-9359-618d90bf8579
  • URLs : https://app.any.run/tasks/9f7c5041-8c5d-46d3-be86-a62fbecec6c7
  • URLs : https://app.any.run/tasks/c33bbc75-7a8f-4784-9e39-ab7c4e58b364
  • URLs : https://app.any.run/tasks/5deb96db-42cd-4a6e-a0b2-2f30bdfb33f5
  • SHA256 : 0f9cf1cf8d641562053ce533aaa413754db88e60404cab6bbaa11f2b2491d542
  • SHA256 : 1d984d4b2b508b56a77c9a567fb7a50c858e672d56e8cf7677a1fca5c98c95d1
  • SHA256 : 2a00705cfd3c15cf8913e9eb4e23968efd06f1feceaef9987d26c5518887d043
  • SHA256 : 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5
  • SHA256 : 42a5db2a020155b2adb77c00cbe6c6ad27c2285d8c6114679d9d34137e870b3f
  • SHA256 : 7467f326677a4a2c8576e71a832e297e794ea00e9b67c4fcbe78b5aec697cec4
  • SHA256 : 7c30c16e7a311dc0cdb1cdfd9ea6e502f44c027328dbe7d960b9bcd85ccf5eef
  • SHA256 : b0af82de672d81f3c2f153977923b3884a8a9e7045b182c2379b19a1996931a0
  • SHA256 : bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a
  • SHA256 : c7cf1575336e78946f4fe4b0e7416b6ebe6813a1a040c54fb6ad82e72673478e
  • SHA256 : 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de
  • SHA256 : 15061036c702ad92b56b35e42cf5dc334597e7311e98d2fdd3815a69ac3b1d84
  • SHA256 : 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6
  • SHA256 : 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be
  • SHA256 : 64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb
  • SHA256 : 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1
  • SHA256 : 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d
  • SHA256 : 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444
  • SHA256 : a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377
  • SHA256 : a5d4d6be3bfe0cba23fe6b44984b5fc9c7c7e10030be96120bb30da0f2545d4c
  • SHA256 : ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888
  • SHA256 : 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14
  • SHA256 : a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
  • SHA256 : 3df9dcc45d2a3b1f639e40d47eceeafb229f6d9e7f0adcd8f1731af1563ffb90
  • SHA256 : 1319d474d19eb386841732c728acf0c5fe64aa135101c6ceee1bd0369ecf97b6

Malware / Outils

  • Dindoor (backdoor)
  • Fakeset (backdoor)
  • Rclone (tool)
  • Stagecomp (other)
  • Darkcomp (other)
  • PowGoop (other)
  • Small Sieve (backdoor)
  • Mori (other)
  • POWERSTATS (other)
  • Canopy (other)
  • Starwhale (other)
  • MuddyViper (other)
  • GhostBackDoor (backdoor)

🔗 Source originale : https://krypt3ia.wordpress.com/2026/03/20/threat-intelligence-report-mango-sandstorm-indoor-fakeset-activity/