📅 Source et contexte : Rapport de threat intelligence publié le 25 juin 2026 par DomainTools Intelligence (DTI), couvrant les opérations cyber étatiques et para-étatiques ciblant les systèmes d’eau et d’assainissement entre 2024 et 2026.

🎯 Contexte stratégique : Les systèmes d’eau et d’assainissement sont devenus des cibles privilégiées de la guerre hybride en raison de leur sous-investissement chronique en cybersécurité OT, de l’exposition internet de leurs PLCs et HMIs, et de leur valeur psychologique et politique disproportionnée. Les trois acteurs étatiques majeurs (Iran, Russie, Chine) convergent vers la même doctrine : utiliser ces infrastructures civiles comme leviers de pression sans franchir le seuil du conflit ouvert.

🇮🇷 Iran – CyberAv3ngers / IRGC :

  • Avril 2020 : tentative de manipulation de systèmes SCADA israéliens, déjouée par des systèmes automatisés.
  • Décembre 2024 : compromission de PLCs Unitronics Vision Series dans des systèmes d’eau américains via des identifiants par défaut, avec défacement HMI (message « You have been hacked, down with Israel »).
  • Avril 2026 : advisory conjoint CISA/FBI/NSA/EPA signalant l’exploitation de PLCs exposés (Rockwell Automation / Allen-Bradley CompactLogix et Micro850) via les ports 44818, 2222, 102, 502, 22, avec déploiement de Dropbear SSH et extraction de fichiers projet .ACD.

🇷🇺 Russie – Cyber Army of Russia Reborn (CARR) / Sandworm :

  • Janvier 2024 : débordement d’un réservoir municipal à Muleshoe, Texas via accès à une interface industrielle distante ; CARR revendique, Mandiant lie le groupe à Sandworm (GRU).
  • Avril 2025 : prise de contrôle d’un barrage à Bremanger, Norvège, ouverture d’une vanne libérant ~500 litres/seconde pendant 4 heures ; attribué publiquement à des acteurs liés à la Russie.

🇨🇳 Chine – Volt Typhoon :

  • Février 2024 : advisory CISA/NSA/FBI confirmant la compromission d’environnements IT dans plusieurs secteurs critiques américains dont l’eau/assainissement, avec objectif de pré-positionnement stratégique pour un conflit futur.
  • Tactiques LOTL (living-off-the-land) : wmic, ntdsutil, netsh portproxy, PowerShell, extraction de ntds.dit, routeurs SOHO compromis comme proxies.

🇵🇱 Pologne – Non attribué :

  • 2025 : cinq stations de traitement d’eau polonaises compromises via mots de passe faibles et systèmes de contrôle exposés sur internet ; accès aux paramètres de dosage chimique, pompes et filtres. Rapport du service de renseignement polonais (mai 2026), sans attribution formelle mais contexte d’opérations hybrides russo-biélorusses évoqué.

⚠️ Incidents non attribués notables :

  • American Water (octobre 2024) : systèmes de facturation affectés, opérations non impactées.
  • Arkansas City, Kansas (septembre 2024) : passage en opérations manuelles après incident cyber.
  • Minot, North Dakota (mars 2026) : ransomware sur serveur lié à l’environnement de traitement d’eau.
  • Veolia North America (janvier 2024) : ransomware sur systèmes back-end.
  • Southern Water UK : revendication par Black Basta, données clients/employés exposées.

🔍 Vulnérabilités communes exploitées : HMIs/PLCs exposés sur internet, identifiants faibles ou par défaut, comptes partagés, systèmes legacy non supportés, absence de segmentation IT/OT, monitoring limité.

📊 Type d’article : Publication de recherche CTI à visée opérationnelle, incluant des IOCs, un mapping MITRE ATT&CK et une évaluation stratégique par acteur. But principal : fournir aux équipes de sécurité des éléments de détection et de contextualisation des menaces étatiques sur le secteur de l’eau.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T0883 — Internet Accessible Device (Initial Access)
  • T1078 — Valid Accounts (Initial Access)
  • T1133 — External Remote Services (Initial Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T0885 — Commonly Used Port (Command and Control)
  • T1219 — Remote Access Software (Command and Control)
  • T1090 — Proxy (Command and Control)
  • T1565 — Data Manipulation (Impact)
  • T1491 — Defacement (Impact)
  • T1489 — Service Stop (Impact)
  • T1046 — Network Service Discovery (Discovery)
  • T1087 — Account Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1003.003 — OS Credential Dumping: NTDS (Credential Access)
  • T1047 — Windows Management Instrumentation (Execution)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1021 — Remote Services (Lateral Movement)
  • T1560 — Archive Collected Data (Collection)
  • T1113 — Screen Capture (Collection)
  • T1562 — Impair Defenses (Defense Evasion)

IOC

Malware / Outils

  • Dropbear SSH (tool)
  • Studio 5000 Logix Designer (tool)
  • ZionSiphon (other)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ dti.domaintools.com — source reconnue (Rösti community) (20pts)
  • ✅ 22355 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 11 IOCs (IPs/domaines/CVEs) (10pts)
  • ✅ 3/3 IOCs confirmés (AbuseIPDB, ThreatFox, VirusTotal) (15pts)
  • ✅ 20 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : CyberAv3ngers, Volt Typhoon, Cyber Army of Russia Reborn (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 135.136.1.133 (ip) → VT (15/91 détections)
  • 185.82.73.162 (ip) → VT (13/91 détections)
  • 185.82.73.164 (ip) → VT (13/91 détections)

🔗 Source originale : https://dti.domaintools.com/research/threat-intelligence-report-nation-state-targeting-of-water-systems-2024-2026