🔍 Contexte

Source : Profero Threat Intelligence, publiĂ©e le 24 mai 2026. L’article documente une opĂ©ration de sabotage combinĂ©e IT/OT menĂ©e contre une usine de production alimentaire israĂ©lienne, attribuĂ©e avec haute confiance Ă  Cyber Isnaad Front, persona opĂ©rĂ©e par ou aux cĂŽtĂ©s d’Aria Sepehr Ayandehsazan (ASA), successeur de l’entitĂ© sanctionnĂ©e Emennet Pasargad, affiliĂ©e Ă  l’IRGC.

🎭 Acteur de la menace

  • Cyber Isnaad Front : persona arabophone prĂ©sentĂ©e comme un collectif hacktiviste pro-palestinien, active depuis juin 2025
  • OpĂ©rĂ©e par/avec ASA (Aria Sepehr Ayandehsazan), successeur d’Emennet Pasargad (sanctionnĂ© par l’OFAC pour ingĂ©rence Ă©lectorale US 2020)
  • ModĂšle opĂ©ratoire : hack-and-leak public + destruction silencieuse en arriĂšre-plan
  • Cibles dĂ©clarĂ©es : sous-traitants dĂ©fense israĂ©liens, logistique carburant (~5 To), opĂ©rateurs tĂ©lĂ©com (>160 clients data center)

đŸ’» Volet IT : malware GRAT (Go Remote Access Toolkit)

GRAT est un binaire Go unique (~10,4 Mo) intégrant 11 sous-systÚmes :

  • Persistance : tĂąche planifiĂ©e “OneDrive Update” (relance toutes les minutes et au dĂ©marrage), rĂ©pertoires utilisateur
  • DĂ©guisement : noms de fichiers (SpellChecker.exe, WindowsUpdater.exe, Checker.exe.exe) et chemins imitant Microsoft
  • CapacitĂ©s : Ă©numĂ©ration systĂšme (AV, BitLocker), gestion processus/registre/services, serveur VNC, exfiltration vers cloud
  • Module ransomware : chiffrement nommĂ© “BigBang”
  • Module wiper : Ă©crasement du disque physique + destruction de la table de partitions (variante multi-passes : zĂ©ro, alĂ©atoire, 0xFF via syscalls directs)
  • C2 dual-channel : commandes via RabbitMQ over TLS (port 7878), rĂ©sultats via Redis plain TCP (port 9988), serveur 84.201.6.131
  • ParamĂštres de connexion chiffrĂ©s AES-256 par build (architecture builder : une clĂ© par cible)

🏭 Volet OT : sabotage physique de la rĂ©frigĂ©ration CO2

L’attaquant a compromis deux systĂšmes de rĂ©frigĂ©ration industrielle (rĂ©frigĂ©rant R-744/CO2) :

SystĂšme ancien :

  • Modification des setpoints, seuils de protection, limites d’alarme
  • Restauration possible en quelques heures

SystÚme récent (impact majeur) :

  • Effacement et rĂ©initialisation complĂšte de la configuration du contrĂŽleur (entrĂ©es/sorties numĂ©riques et analogiques)
  • Vannes motorisĂ©es passĂ©es en mode manuel et bloquĂ©es ouvertes (gas cooler + receiver)
  • Changement des credentials du contrĂŽleur central → lockout des ingĂ©nieurs
  • ConsĂ©quence physique : arrivĂ©e de liquide dans les compresseurs → destruction de 3 compresseurs (le liquide CO2 est incompressible), dĂ©charge du circuit via soupapes de sĂ©curitĂ©
  • DurĂ©e de remise en service : plusieurs jours, remplacement de compresseurs, vannes, filtres, re-cĂąblage, tests pression/vide, recharge R-744
  • Aucun malware dĂ©ployĂ© sur les contrĂŽleurs OT : sabotage rĂ©alisĂ© dans le langage natif de l’Ă©quipement

📊 Type d’article

Rapport d’incident technique dĂ©taillĂ© publiĂ© par Profero IRT, visant Ă  documenter une opĂ©ration hybride IT/OT, fournir des IoCs exploitables, une rĂšgle YARA, un mapping MITRE ATT&CK (Enterprise + ICS) et des indicateurs de dĂ©tection pour les dĂ©fenseurs.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Cyber Isnaad Front (state-sponsored) —
  • Aria Sepehr Ayandehsazan (state-sponsored) —
  • Emennet Pasargad (state-sponsored) — orkl.eu · Malpedia

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1547.001 — Registry Run Keys / Startup Folder (Persistence)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1070.001 — Indicator Removal: Clear Windows Event Logs (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1082 — System Information Discovery (Discovery)
  • T1518.001 — Security Software Discovery (Discovery)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1571 — Non-Standard Port (Command and Control)
  • T1567.002 — Exfiltration to Cloud Storage (Exfiltration)
  • T1486 — Data Encrypted for Impact (Impact)
  • T1561.001 — Disk Wipe: Disk Content Wipe (Impact)
  • T1561.002 — Disk Wipe: Disk Structure Wipe (Impact)
  • T1490 — Inhibit System Recovery (Impact)
  • T0892 — Change Credential (Persistence / Evasion)
  • T0836 — Modify Parameter (Impair Process Control)
  • T0889 — Modify Program (Inhibit Response Function)
  • T0858 — Change Operating Mode (Impair Process Control)
  • T0831 — Manipulation of Control (Impair Process Control)
  • T0879 — Damage to Property (Impact)
  • T0826 — Loss of Availability (Impact)
  • T0809 — Data Destruction (Impact)

IOC

  • IPv4 : 84.201.6.131 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 146.103.40.190 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 193.29.104.5 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 45.82.66.163 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 84.201.6.128 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 84.201.6.129 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 85.137.56.9 — AbuseIPDB · VT · ThreatFox
  • IPv4 : 85.17.55.232 — AbuseIPDB · VT · ThreatFox
  • SHA256 : 6f5f427d96656ae51405e6a5e65253759db45ea0a17da2d70f881404a4ed717b — VT · MalwareBazaar
  • SHA256 : 0ad128e813314e4562489478e6def8c6dfcc251e006d7f55b24273e93d3bc7fb — VT · MalwareBazaar
  • SHA256 : c4909b2d7a7f813b5a3d729fe64535033e716ae89dc39c402a6cb8ccbccaadca — VT · MalwareBazaar
  • SHA256 : 86194eb5c5abcfe763899aaad7eb64894c71e816dd7d27427c8bac4ab280533d — VT · MalwareBazaar
  • Fichiers : SpellChecker.exe
  • Fichiers : WindowsUpdater.exe
  • Fichiers : Checker.exe.exe
  • Chemins : C:\Users\<user>\AppData\Roaming\Microsoft\Spelling\SpellChecker.exe
  • Chemins : C:\ProgramData\WindowsUpdater.exe

Malware / Outils

  • GRAT (Go Remote Access Toolkit) (rat)

🟱 Indice de vĂ©rification factuelle : 72/100 (haute)

  • ⬜ profero.io — source non rĂ©fĂ©rencĂ©e (0pts)
  • ✅ 20940 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 17 IOCs dont des hashes (15pts)
  • ✅ 2/6 IOCs confirmĂ©s (AbuseIPDB, MalwareBazaar, ThreatFox, VirusTotal) (12pts)
  • ✅ 25 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : Cyber Isnaad Front, Aria Sepehr Ayandehsazan, Emennet Pasargad (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • 146.103.40.190 (ip) → AbuseIPDB (45% confiance, 101 signalements) + VT (18/91 dĂ©tections)
  • 193.29.104.5 (ip) → VT (8/91 dĂ©tections)

🔗 Source originale : https://profero.io/blog/war-between-wars/