🔍 Contexte

Publié le 21 avril 2026 par FalconFeeds.io, cet article constitue une analyse de menace détaillée du collectif hacktivist Dark Storm Team, actif depuis le 27 août 2023, dans le cadre du conflit cyber Iran–Israël et de la menace pesant sur les infrastructures critiques du Moyen-Orient.

🎭 Profil de l’acteur

Dark Storm Team est un collectif hacktivist pro-palestinien, décentralisé, sans attribution étatique confirmée. Il opère principalement via un canal Telegram (t.me/Dark_StormTeam) comptant 617 abonnés. Le groupe a maintenu un rythme opérationnel soutenu sur 20 mois, ciblant 60 pays et 74 secteurs industriels. Aucune couverture par les grands fournisseurs commerciaux de threat intelligence n’a été identifiée à la date de publication.

🤝 Coalition avec des acteurs pro-russes

L’analyse du canal Telegram révèle que Dark Storm Team relaie activement des publications de NNM057(16), acteur hacktivist pro-russe affilié au DDoSia Project. Cette coalition introduit des capacités ICS/SCADA dans l’écosystème du groupe :

  • Une vidéo relayée montre un accès revendiqué à une station de compresseurs d’une installation industrielle polonaise (sprężarkownia)
  • Le tableau de bord SCADA affiche des lectures en temps réel : températures (12,9°C, 39,3°C, 27,5°C, 14,3°C), débit d’air (4,98 m³/min)
  • Les onglets de contrôle visibles : ALARMY, WYKRESY TEMPERATUR, KLIMATYZACJA, PARAMETRY PRACY

🎯 Incidents documentés – Conflit Iran–Israël

  • Campagne #opIsrael (mars 2025) : 7 attaques DDoS simultanées contre des institutions étatiques israéliennes, documentées dans le post Telegram t.me/Dark_StormTeam/76
  • Ciblage d’entités de défense et d’industrie militaire israéliennes, avec chevauchement avec les cibles de Cyber Av3ngers et Handala Hack
  • Ciblage des États signataires des Accords d’Abraham comme vecteur d’extension de la menace aux infrastructures régionales

🗺️ Cartographie MITRE ATT&CK

Les techniques sont mappées sur MITRE ATT&CK Enterprise v14 et ATT&CK for ICS, avec trois niveaux de confiance : CONFIRMED (directement évidencé), INFERRED (déduit du pattern opérationnel), POSSIBLE (capacité de coalition non directement démontrée par Dark Storm Team).

📡 Indicateurs

Tous les indicateurs sont résidents sur Telegram. Aucun IOC hôte (hashes, IPs C2, domaines malveillants) n’a été identifié. Le groupe ne produit aucun outillage personnalisé. L’infrastructure de preuve repose sur check-host.net.

📋 Type d’article

Il s’agit d’une analyse de menace structurée, dont le but principal est de documenter l’activité de Dark Storm Team, d’établir son rôle dans le conflit cyber Iran–Israël, et de fournir une base de renseignement exploitable pour les équipes SOC du Moyen-Orient.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Dark Storm Team (hacktivist) —
  • NNM057(16) (hacktivist) —
  • Cyber Av3ngers (hacktivist) — orkl.eu · Malpedia
  • Handala Hack (hacktivist) —
  • DDoSia Project (hacktivist) —

TTP

  • T1498 — Network Denial of Service (Impact)
  • T1498.001 — Direct Network Flood (Impact)
  • T0814 — Denial of Service (Impact)
  • T1594 — Search Victim-Owned Websites (Reconnaissance)
  • T1586 — Compromise Accounts (Resource Development)

IOC

  • URLs : https://t.me/Dark_StormTeamURLhaus
  • URLs : https://t.me/Dark_StormTeam/76URLhaus

🟢 Indice de vérification factuelle : 71/100 (haute)

  • ✅ falconfeeds.io — source reconnue (Rösti community) (20pts)
  • ✅ 5040 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/2 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Dark Storm Team, NNM057(16), Cyber Av3ngers (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://falconfeeds.io/blogs/dark-storm-team-iran-israel-cyber-conflict-middle-east-critical-infrastructure-threat/