🌐 Contexte

Check Point Research (CPR) publie le 1er avril 2026 une analyse d’une campagne de password spraying active, attribuée avec une confiance modérée à un acteur lié à l’Iran, ciblant des environnements Microsoft 365 principalement au Moyen-Orient.

🎯 Cibles et portée

La campagne a impacté :

  • Plus de 300 organisations en Israël et plus de 25 aux Émirats arabes unis
  • Un nombre limité de cibles en Europe, États-Unis, Royaume-Uni et Arabie Saoudite

Les secteurs principalement visés incluent :

  • Municipalités (secteur prioritaire, notamment en lien avec la gestion des dommages causés par des missiles)
  • Énergie, aviation, maritime, satellite
  • Entités gouvernementales et entreprises du secteur privé

📅 Chronologie des attaques

La campagne s’est déroulée en trois vagues distinctes : 3 mars, 13 mars et 23 mars 2026.

⚙️ Méthodes techniques

Phase 1 – Scan : Password spraying intensif depuis des nœuds de sortie Tor (rotation fréquente), avec un User-Agent imitant Internet Explorer 10 (Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)).

Phase 2 – Infiltration : Après obtention de credentials valides, connexion depuis des adresses IP VPN (Windscribe 185.191.204.X ou NordVPN 169.150.227.X) géolocalisées en Israël pour contourner les restrictions géographiques.

Phase 3 – Exfiltration : Accès aux données sensibles, notamment le contenu des emails personnels.

🕵️ Attribution

L’activité est attribuée avec confiance modérée à un acteur iranien, présentant des similitudes avec Gray Sandstorm, notamment l’utilisation d’outils red-team via Tor. L’acteur a utilisé des nœuds VPN commerciaux hébergés sur AS35758 (Rachamim Aviel Twito). Les acteurs Peach Sandstorm et Gray Sandstorm sont mentionnés comme référence de comparaison.

Une corrélation est observée entre les cibles de la campagne et les villes touchées par des frappes de missiles iraniens en mars 2026, suggérant un soutien aux opérations cinétiques et au Bombing Damage Assessment (BDA).

📄 Type d’article

Publication de recherche CTI produite par Check Point Research, visant à documenter une campagne active, fournir des IOCs et des éléments d’attribution.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Gray Sandstorm (state-sponsored)
  • Peach Sandstorm (state-sponsored)

TTP

  • T1110.003 — Password Spraying (Credential Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1090.003 — Proxy: Multi-hop Proxy (Command and Control)
  • T1114.002 — Remote Email Collection (Collection)
  • T1036.001 — Masquerading: Invalid Code Signature (Defense Evasion)

IOC

  • IPv4 : 185.191.204.202
  • IPv4 : 185.191.204.203
  • IPv4 : 169.150.227.3
  • IPv4 : 169.150.227.143
  • IPv4 : 169.150.227.146

🔗 Source originale : https://blog.checkpoint.com/research/iran-nexus-password-spray-campaign-targeting-cloud-environments-with-a-focus-on-the-middle-east/