🏛️ Contexte
Ce document est un avis conjoint de cybersécurité (AA26-097A) publié le 7 avril 2026 par le FBI, la CISA, la NSA, l’EPA, le DOE et le CNMF. Il alerte sur une campagne active d’exploitation d’automates programmables industriels (PLC) par des acteurs APT affiliés à l’Iran, ciblant des infrastructures critiques américaines.
🎯 Acteurs et attribution
Les agences attribuent cette activité à un groupe APT affilié à l’Iran, distinct mais similaire aux CyberAv3ngers (alias Shahid Kaveh Group, Hydro Kitten, Storm-0784, APT Iran, Bauxite, Mr. Soul, Soldiers of Solomon, UNC5691), eux-mêmes affiliés à l’IRGC Cyber Electronic Command (CEC). L’escalade des attaques est probablement liée aux hostilités entre l’Iran, les États-Unis et Israël.
🖥️ Vecteurs d’attaque et techniques
- Accès initial : utilisation d’adresses IP hébergées à l’étranger pour accéder directement à des PLC Rockwell Automation/Allen-Bradley exposés sur internet (CompactLogix, Micro850) via le logiciel Studio 5000 Logix Designer (T0883)
- Commande et contrôle : trafic malveillant sur les ports 44818, 2222, 102, 22, 502 ; déploiement de Dropbear SSH sur les endpoints victimes pour accès distant via le port 22 (T1219, T0885)
- Impact : extraction des fichiers projet (.ACD), manipulation des données affichées sur les interfaces HMI et SCADA (T1565), perturbations opérationnelles et pertes financières
🏭 Secteurs et produits ciblés
- Secteurs : Services gouvernementaux et collectivités locales, Eau et eaux usées (WWS), Énergie
- Produits : PLC Rockwell Automation/Allen-Bradley (CompactLogix, Micro850), potentiellement Siemens S7 (ports S7 ciblés)
- Activité identifiée depuis au moins mars 2026
🔍 Indicateurs de compromission
Adresses IP associées aux acteurs :
135.136.1.133(mars 2026)185.82.73.162à185.82.73.171(plage partielle, janvier 2025 – mars 2026)
📋 Type d’article
Il s’agit d’une alerte de sécurité officielle émise par plusieurs agences gouvernementales américaines, dont le but principal est d’informer les opérateurs d’infrastructures critiques de la menace en cours et de fournir des IOCs et TTPs exploitables pour la détection et la réponse.
🧠 TTPs et IOCs détectés
Acteurs de menace
- CyberAv3ngers (state-sponsored) — orkl.eu · Malpedia
- IRGC Cyber Electronic Command (state-sponsored) —
TTP
- T0883 — Internet Accessible Device (Initial Access)
- T1565 — Data Manipulation: Stored Data Manipulation (Impact)
- T0885 — Commonly Used Port (Command and Control)
- T1219 — Remote Access Tools (Command and Control)
IOC
- IPv4 :
135.136.1.133— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.162— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.164— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.165— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.167— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.168— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.170— AbuseIPDB · VT · ThreatFox - IPv4 :
185.82.73.171— AbuseIPDB · VT · ThreatFox - CVEs :
CVE-2021-22681— NVD · CIRCL
Malware / Outils
- Dropbear SSH (tool)
- Studio 5000 Logix Designer (tool)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ ic3.gov — source reconnue (liste interne) (20pts)
- ✅ 28198 chars — texte complet (fulltext extrait) (15pts)
- ✅ 9 IOCs (IPs/domaines/CVEs) (10pts)
- ✅ 3/3 IOCs confirmés (AbuseIPDB, ThreatFox, VirusTotal) (15pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : CyberAv3ngers, IRGC Cyber Electronic Command (5pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
IOCs confirmés externellement :
135.136.1.133(ip) → VT (12/94 détections)185.82.73.162(ip) → VT (9/94 détections)185.82.73.164(ip) → VT (7/94 détections)
🔗 Source originale : https://www.ic3.gov/CSA/2026/260407.pdf