🗓️ Contexte
Publié le 16 mai 2026 sur Zero Day (zetter-zeroday.com) par Kim Zetter, cet article s’appuie sur une nouvelle analyse publiée simultanément par la Threat Hunter Team de Symantec et l’Institute for Science and International Security (ISIS), confirmant et approfondissant une découverte initiale de SentinelOne.
🦠 Le malware Fast16
Fast16 est un malware compilé le 30 août 2005, découvert en 2019 par Juan Andres Guerrero-Saade (SentinelOne) après avoir été mentionné dans des outils NSA divulgués par les Shadow Brokers en 2017. Un échantillon avait été uploadé sur VirusTotal en octobre 2017.
Ses caractéristiques techniques :
- Cible au moins deux logiciels de simulation : LS-DYNA (Lawrence Livermore National Laboratory) et AUTODYN (Ansys)
- Ne s’active que si l’une de 3 équations d’état spécifiques est utilisée dans une simulation d’explosion à haute énergie
- Vérifie la présence de 18 produits de sécurité et refuse d’infecter si l’un est détecté
- Se propage automatiquement aux autres machines du réseau interne
- Supporte 8 à 10 versions différentes de LS-DYNA, avec des versions ajoutées hors séquence (suggérant un renseignement continu sur les versions utilisées par les cibles)
⚙️ Mécanisme de sabotage
Fast16 surveille la densité du cœur d’uranium dans la simulation. Lorsque cette valeur atteint 30 g/cm³ (seuil précédant la liquéfaction du métal comprimé), il substitue les données réelles par de fausses données indiquant une pression insuffisante pour atteindre la supercriticalité.
L’effet : les ingénieurs croient que leurs tests échouent alors qu’ils réussissent réellement, les poussant à modifier inutilement leurs calculs ou à augmenter la charge explosive — sans jamais obtenir les résultats attendus.
🎯 Attribution et cible
David Albright (ISIS) indique que la cible est très probablement le programme nucléaire iranien (programme Amad), actif à cette période, avec des équipes de simulation engagées dans la modélisation d’explosions nucléaires. Les indices pointant vers l’Iran :
- Timing (Iran relance son programme en août 2005 après suspension)
- Focus sur l’uranium
- Usage documenté de LS-DYNA et AUTODYN en Iran
- Accès requis pour développer le malware
L’attribution de Fast16 pointe vers les États-Unis, Israël ou un allié, en lien probable avec l’opération Olympic Games — la même opération couverte qui a produit Stuxnet.
🔗 Lien avec Stuxnet
Fast16 et Stuxnet sont contemporains (tous deux en développement en 2005) et complémentaires :
- Stuxnet : augmentait la pression dans les centrifugeuses tout en affichant des données normales aux opérateurs
- Fast16 : affichait de fausses données d’échec aux ingénieurs alors que les simulations réussissaient
Les deux malwares partagent le même cadre conceptuel : subversion de l’intégrité des données dans des environnements air-gappés sécurisés.
📰 Nature de l’article
Article de presse spécialisée à visée analytique et historique, s’appuyant sur deux publications de recherche simultanées (Symantec et ISIS), visant à documenter un épisode inédit de cyberguerre dans le cadre de la campagne occidentale contre le programme nucléaire iranien.
🧠 TTPs et IOCs détectés
TTP
- T1565.001 — Stored Data Manipulation (Impact)
- T1565.003 — Runtime Data Manipulation (Impact)
- T1518.001 — Security Software Discovery (Discovery)
- T1016 — System Network Configuration Discovery (Discovery)
- T1570 — Lateral Tool Transfer (Lateral Movement)
- T1083 — File and Directory Discovery (Discovery)
Malware / Outils
- Fast16 (other)
- Stuxnet (other)
🟡 Indice de vérification factuelle : 40/100 (moyenne)
- ⬜ zetter-zeroday.com — source non référencée (0pts)
- ✅ 25897 chars — texte complet (fulltext extrait) (15pts)
- ⬜ aucun IOC extrait (0pts)
- ⬜ pas d’IOC à vérifier (0pts)
- ✅ 6 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.zetter-zeroday.com/experts-confirm-the-fast16-malware-was-sabotaging-nuclear-weapons-tests-likely-in-iran/