🗓️ Contexte
Source : The Record Media, publié le 15 avril 2026. L’information est rapportée lors d’une conférence de presse à Stockholm par Carl-Oskar Bohlin, ministre suédois de la défense civile, en référence à un incident survenu au printemps 2025.
🎯 Incident
Un groupe de hackers suspecté d’être pro-russe a tenté de perturber les opérations d’une centrale thermique située dans l’ouest de la Suède. La tentative d’intrusion a échoué grâce aux protections de sécurité intégrées de l’installation. Le nom de la centrale n’a pas été divulgué.
Le service de sécurité suédois a mené une enquête et identifié les auteurs présumés, décrits comme ayant des liens avec les services de renseignement russes.
⚙️ Vecteur technique
L’attaque ciblait un système de technologie opérationnelle (OT), c’est-à-dire les logiciels industriels contrôlant les infrastructures physiques (centrales électriques, installations hydrauliques, équipements de production).
🌍 Contexte régional élargi
- Des tentatives similaires ont été enregistrées en Norvège et au Danemark
- La Pologne a subi une attaque comparable mais à plus grande échelle, attribuée au groupe Sandworm, utilisant un malware d’effacement de données visant à couper l’électricité à des centaines de milliers de personnes
- L’Ukraine signale des opérations cyber persistantes contre son secteur énergétique, certaines orientées vers la collecte de renseignements pour appuyer des frappes de missiles
📈 Évolution des tactiques
Selon les officiels suédois, ces groupes ont opéré un changement de tactique : ils se concentraient auparavant sur des attaques par déni de service (DDoS) visant à mettre hors ligne des sites web, et se tournent désormais vers des cyberattaques destructrices contre des organisations européennes.
🏛️ Avertissements officiels
Un avis conjoint des autorités américaines a mis en garde contre plusieurs groupes soutenus par le gouvernement russe ciblant des opérateurs d’infrastructures occidentales dans les secteurs de l’énergie, de l’eau et de l’alimentation, notamment :
- CyberArmyofRussia_Reborn
- NoName057(16)
📰 Nature de l’article
Article de presse spécialisée relatant une annonce officielle gouvernementale suédoise sur un incident cyber ciblant une infrastructure critique nationale, dans le cadre d’une tendance plus large d’opérations cyber russo-liées en Europe.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Sandworm (state-sponsored) — orkl.eu · Malpedia
- CyberArmyofRussia_Reborn (hacktivist) — Malpedia
- NoName057(16) (hacktivist) — orkl.eu · Malpedia
TTP
- T0810 — Data Destruction (Inhibit Response Function)
- T0816 — Device Restart/Shutdown (Inhibit Response Function)
- T0886 — Remote Services (Lateral Movement)
Malware / Outils
- data-wiping malware (other)
🟡 Indice de vérification factuelle : 63/100 (moyenne)
- ✅ therecord.media — source reconnue (liste interne) (20pts)
- ✅ 2802 chars — texte partiel (fulltext extrait) (13pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 3 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ✅ acteur(s) identifié(s) : Sandworm, CyberArmyofRussia_Reborn, NoName057(16) (5pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://therecord.media/sweden-hackers-russia-power-plant