📰 Source : SecurityAffairs (Pierluigi Paganini) — Date de publication : 12 avril 2026. L’article rapporte une intrusion revendiquée contre le système de pompes anti-inondation protégeant la Piazza San Marco à Venise, infrastructure critique relevant du Ministère italien des Infrastructures et des Transports.

🎯 Nature de l’incident Le groupe, opérant sous les noms « Infrastructure Destruction Squad » et « Dark Engine », affirme avoir obtenu un accès administratif au système de contrôle hydraulique. L’intrusion aurait débuté fin mars 2026, avec une publication de preuves (captures d’écran de panneaux de contrôle, schémas système, états des vannes) début avril 2026. Le groupe a annoncé la compromission via son canal Telegram, dans un message rédigé en langue chinoise.

💬 Revendications des attaquants

  • Maintien d’un accès persistant au réseau depuis plusieurs mois
  • Capacité à désactiver les défenses anti-inondation et à provoquer des inondations côtières
  • Objectif déclaré : exposer les vulnérabilités des infrastructures critiques italiennes et exercer une pression politique sur le gouvernement italien
  • Mise en vente de l’accès root complet au système pour 600 USD
  • Menace explicite contre les médias relayant l’information

🏛️ Réponse des autorités Les autorités italiennes ont confirmé que les systèmes critiques protégeant la Basilique Saint-Marc sont restés opérationnels et non affectés. Des vérifications auraient été effectuées après l’attaque de fin mars, avec des tests d’équipements positifs après Pâques.

🌐 Contexte OT/ICS plus large L’article mentionne en parallèle un avertissement émis le 7 avril 2026 par le FBI, la CISA et la NSA concernant des APT liés à l’Iran exploitant des systèmes OT exposés sur Internet dans plusieurs secteurs d’infrastructure critique (eau, énergie, services gouvernementaux). Ces attaques impliquent la manipulation de fichiers de projet et l’altération de données affichées sur des systèmes HMI et SCADA. Le groupe CyberAv3ngers, associé aux Gardiens de la Révolution iraniens (IRGC), est cité dans ce contexte.

📋 Type d’article : Annonce d’incident à visée pédagogique sur les risques OT/ICS, illustrant la convergence IT/OT et la menace pesant sur les infrastructures critiques physiques.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T0817 — Drive-by Compromise (Initial Access)
  • T0822 — External Remote Services (Initial Access)
  • T0859 — Valid Accounts (Persistence)
  • T0800 — Activate Firmware Update Mode (Inhibit Response Function)
  • T0816 — Device Restart/Shutdown (Inhibit Response Function)
  • T0878 — Alarm Suppression (Inhibit Response Function)
  • T0849 — Masquerading (Evasion)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ securityaffairs.com — source non référencée (0pts)
  • ✅ 7645 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Infrastructure Destruction Squad, Dark Engine, CyberAv3ngers (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://securityaffairs.com/190679/hacktivism/hackers-claim-control-over-venice-san-marco-anti-flood-pumps.html