🗂️ Contexte

Source : The Record (Recorded Future News), publié le 7 mai 2026. L’Agence de Sécurité Intérieure polonaise (ABW) a publié son premier rapport public d’activité depuis 2014, couvrant les menaces cyber et d’espionnage auxquelles la Pologne a fait face en 2024 et 2025.

🎯 Incidents ciblant les infrastructures d’eau

Des attaquants ont compromis des stations de traitement d’eau dans cinq communes polonaises :

  • Jabłonna Lacka
  • Szczytno
  • Małdyty
  • Tolkmicko
  • Sierakowo

Dans certains cas, les attaquants ont obtenu un accès aux systèmes de contrôle industriel (ICS), leur permettant de modifier les paramètres techniques des équipements, créant un risque direct sur la continuité de l’approvisionnement en eau. Selon CyberDefence24, dans au moins un établissement, des paramètres liés aux pompes et aux alarmes ont été modifiés après compromission d’un compte administrateur.

🕵️ Attribution et contexte géopolitique

L’ABW n’a pas attribué publiquement les incidents à un groupe ou pays spécifique, mais souligne une intensification de l’activité hostile en 2024-2025, avec une emphase particulière sur les services spéciaux de la Fédération de Russie. La publication CyberDefence24 a précédemment lié plusieurs incidents à un groupe hacktiviste pro-russe ayant publié des vidéos de propagande de ses intrusions.

📊 Tendances et évolution des menaces

  • La Russie conduit une campagne de long terme visant à déstabiliser les États membres de l’OTAN et de l’UE
  • Les opérations russes évoluent : passage d’opératives en ligne recrutés de manière informelle vers des réseaux structurés liés à la criminalité organisée
  • Recrutement via plateformes de messagerie chiffrée et paiements en cryptomonnaies
  • 48 enquêtes pour espionnage ouvertes en 2025 (contre 6 en 2022)
  • Plus de 40 000 signalements d’incidents cybersécurité enregistrés sur la période couverte

🏗️ Autres incidents notables mentionnés

  • Compromission du réseau de communications du réseau ferroviaire national
  • Panne du système de contrôle du trafic aérien
  • Compromission de l’agence de presse d’État PAP avec publication d’une fausse alerte de mobilisation militaire
  • Tentative d’attaque sur l’infrastructure énergétique (évitée de justesse)

📌 Type et portée de l’article

Rapport d’incident à portée nationale, basé sur la publication officielle de l’ABW. L’article vise à informer sur l’ampleur des cybermenaces pesant sur la Pologne, en particulier sur ses infrastructures critiques, dans un contexte de tensions géopolitiques liées au conflit russo-ukrainien.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Groupe hacktiviste pro-russe (non nommé) (hacktivist) —
  • Services spéciaux de la Fédération de Russie (non attribués formellement) (state-sponsored) —

TTP

  • T1078 — Valid Accounts (Initial Access)
  • T1565 — Data Manipulation (Impact)
  • T1565.001 — Stored Data Manipulation (Impact)
  • T1496 — Resource Hijacking (Impact)
  • T1583 — Acquire Infrastructure (Resource Development)
  • T1486 — Data Encrypted for Impact (Impact)
  • T0831 — Manipulation of Control (Impact)
  • T0806 — Brute Force I/O (Impair Process Control)

🟢 Indice de vérification factuelle : 65/100 (haute)

  • ✅ therecord.media — source reconnue (liste interne) (20pts)
  • ✅ 5842 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 8 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Groupe hacktiviste pro-russe (non nommé), Services spéciaux de la Fédération de Russie (non attribués formellement) (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://therecord.media/polish-intelligence-warns-hackers-attacked-water-treatment