🔍 Contexte

Publié le 23 avril 2026 par Andy Greenberg sur Wired, cet article rapporte la présentation des chercheurs Vitaly Kamluk et Juan Andrés Guerrero-Saade de SentinelOne à la conférence Black Hat Asia à Singapour. Ils y dévoilent leur analyse complète du malware Fast16, dont l’existence était connue depuis 2017 mais dont le fonctionnement réel était resté inexpliqué pendant 21 ans.

🧬 Découverte et historique

  • 2005 : compilation du driver kernel Fast16.sys, date probable de création du malware
  • 2017 : révélation de l’existence de Fast16 via la fuite des outils NSA par les Shadow Brokers, dans l’outil Territorial Dispute — avec la mention interne “NOTHING TO SEE HERE—CARRY ON”
  • 2019 : Juan Andrés Guerrero-Saade retrouve un échantillon sur VirusTotal sous le nom svcmgmt.exe, contenant le driver Fast16.sys
  • 2026 : Vitaly Kamluk procède au reverse engineering complet, révélant la véritable nature du malware

⚙️ Fonctionnement technique

Fast16 n’est pas un rootkit comme supposé initialement (cinq outils IA de premier plan l’ont incorrectement classifié comme tel). Il s’agit d’un malware de sabotage à propagation automatique :

  • Propagation (“wormlet”) : se copie vers d’autres machines du réseau via la fonctionnalité de partage réseau Windows
  • Vérification de sécurité : contrôle la présence d’applications de sécurité avant installation
  • Installation : déploie le driver kernel Fast16.sys au niveau le plus privilégié du système d’exploitation
  • Ciblage applicatif : surveille les applications chargées en mémoire via des règles de détection de patterns
  • Sabotage : altère silencieusement les calculs effectués par les logiciels cibles pour corrompre imperceptiblement leurs résultats
  • Persistance de la tromperie : la propagation via wormlet garantit que les vérifications croisées sur d’autres machines du même réseau confirment les résultats erronés

🎯 Logiciels ciblés identifiés

Trois logiciels de simulation physique et d’ingénierie ont été identifiés comme cibles potentielles :

  1. MOHID (Modelo Hidrodinâmico) — logiciel portugais de modélisation des systèmes hydrauliques
  2. PKPM — logiciel chinois d’ingénierie de construction
  3. LS-DYNA — logiciel de simulation physique créé par des scientifiques du Lawrence Livermore National Laboratory, utilisé notamment pour modéliser l’interaction des métaux dans une arme nucléaire et l’impact de la rentrée atmosphérique d’un missile balistique sur une ogive nucléaire

🇮🇷 Hypothèse Iran / Programme nucléaire

Les chercheurs et Costin Raiu (TLP:Black, ex-Kaspersky) formulent une hypothèse à confiance moyenne-haute : Fast16 aurait été utilisé contre le projet AMAD iranien (programme nucléaire clandestin des années 2000) :

  • Des scientifiques iraniens ont utilisé LS-DYNA pour des recherches contribuant au développement d’armes nucléaires, selon l’Institute for Science and International Security
  • Une étude documentée compare les propriétés des explosifs PBXN-110 et Octol (composant clé du projet AMAD) via LS-DYNA
  • Fast16 daterait de 2005, soit avant le déploiement de Stuxnet en 2007
  • Il pourrait constituer un précurseur du programme Olympic Games (opération conjointe NSA / Unité 8200 israélienne)

🌐 Attribution

Aucun acteur n’est explicitement nommé. Les indices pointent vers le gouvernement américain ou un de ses alliés :

  • Mention “NOTHING TO SEE HERE—CARRY ON” dans l’outil NSA Territorial Dispute
  • Niveau de sophistication comparable à Stuxnet
  • Présence d’un système de contrôle de version suggérant plusieurs versions et usages multiples
  • Les échecs inexpliqués du programme nucléaire nord-coréen à la même période sont mentionnés sans conclusion

📰 Nature de l’article

Article de presse spécialisée basé sur une publication de recherche présentée à Black Hat Asia 2026, visant à documenter une avancée majeure dans la compréhension historique des opérations de cybersabotage étatiques.

🧠 TTPs et IOCs détectés

TTP

  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)
  • T1543.001 — Create or Modify System Process: Launch Agent (Persistence)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1080 — Taint Shared Content (Lateral Movement)
  • T1014 — Rootkit (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1565.001 — Data Manipulation: Stored Data Manipulation (Impact)
  • T1496 — Resource Hijacking (Impact)

IOC

  • Fichiers : svcmgmt.exe
  • Fichiers : Fast16.sys

Malware / Outils

  • Fast16 (other)
  • Stuxnet (other)
  • Territorial Dispute (tool)

🟡 Indice de vérification factuelle : 46/100 (moyenne)

  • ⬜ wired.com — source non référencée (0pts)
  • ✅ 14039 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 9 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/