🗓️ Contexte

Source : Check Point Blog — publié le 1er juin 2026. Le 22 mai 2026, des enquêteurs néerlandais spécialisés dans la criminalité financière ont saisi environ 800 serveurs dans des datacenters à Dronten et Schiphol-Rijk (Pays-Bas), ciblant le fournisseur d’hébergement WorkTitans B.V.

🏢 WorkTitans : successeur de Stark Industries

En mai 2025, l’UE avait sanctionné Stark Industries, un fournisseur d’accès internet lié aux opérations de guerre informationnelle russes. Plutôt que de cesser ses activités, ses opérateurs auraient simplement rebrandé sous le nom WorkTitans, continuant à exploiter la même infrastructure sous une nouvelle identité juridique.

🎯 Trois groupes iraniens utilisant la même infrastructure

Check Point a identifié trois groupes de menace iraniens distincts ayant utilisé l’infrastructure WorkTitans comme épine dorsale opérationnelle :

1. MuddyWater (affilié au MOIS)

  • Utilise des campagnes de phishing via des comptes organisationnels compromis
  • A historiquement déployé des outils de gestion à distance légitimes (Atera Agent, ScreenConnect)
  • A remplacé ces outils par le backdoor BugSleep dans ses campagnes récentes
  • Ciblait principalement des organisations israéliennes
  • Les serveurs WorkTitans servaient de C2 pour BugSleep

2. Agrius (alias UNC2428)

  • Campagne d’ingénierie sociale à thème recrutement, se faisant passer pour un contractant de défense israélien
  • Victimes dirigées vers un faux site web pour télécharger RafaelConnect.exe (loader nommé LONEFLEET)
  • Interface réaliste demandant des informations personnelles et un CV, tout en déployant silencieusement le backdoor MURKYTOUR
  • MURKYTOUR communiquait via l’infrastructure WorkTitans

3. Nimbus Manticore

  • Approche également à thème recrutement, ciblant les secteurs aérospatial, aviation et défense
  • Utilise de faux profils recruteurs sur LinkedIn et des portails d’emploi factices
  • Victimes amenées à télécharger une archive ZIP contenant une DLL malveillante
  • Technique de DLL side-loading pour accès distant, vol de credentials et mouvement latéral
  • Rotation continue de l’infrastructure sur plusieurs fournisseurs VPS dont WorkTitans
  • Infrastructure WorkTitans utilisée pour scanner des cibles moyen-orientales à la recherche de vulnérabilités sur des caméras IP — détecté une semaine avant l’Opération Epic Fury (armée américaine, février 2026)

⚖️ Impact de la saisie

Une seule action des forces de l’ordre contre un hébergeur a suffi à perturber simultanément plusieurs opérations actives, ciblant des secteurs différents avec des techniques différentes, mais partageant la même dépendance infrastructurelle.

📄 Nature de l’article

Il s’agit d’une analyse de menace publiée par Check Point Research, visant à documenter l’impact de la saisie de WorkTitans sur les opérations cyber iraniennes et à illustrer l’importance de l’analyse de réputation d’infrastructure (ASN, DNS passif) dans la détection des menaces.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1555 — Credentials from Password Stores (Credential Access)
  • T1021 — Remote Services (Lateral Movement)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
  • T1595.001 — Active Scanning: Scanning IP Blocks (Reconnaissance)

IOC

  • Fichiers : RafaelConnect.exe

Malware / Outils

  • BugSleep (backdoor)
  • MURKYTOUR (backdoor)
  • LONEFLEET (loader)
  • Atera Agent (tool)
  • ScreenConnect (tool)

🟢 Indice de vérification factuelle : 71/100 (haute)

  • ✅ blog.checkpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 10408 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 13 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : MuddyWater, Agrius, Nimbus Manticore (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://blog.checkpoint.com/security/the-server-seizure-that-affects-also-irans-cyber-operations/