Seedworm (Iran) actif depuis février 2026 : backdoors Dindoor/Fakeset, exfiltration cloud et IOCs publiés
SECURITY.COM, dans un contexte dâescalade militaire entre les ĂtatsâUnis/IsraĂ«l et lâIran fin fĂ©vrier 2026, dĂ©taille une campagne en cours depuis dĂ©but fĂ©vrier attribuĂ©e Ă lâAPT iranien Seedworm (MuddyWater/Temp Zagros/Static Kitten). Des activitĂ©s ont Ă©tĂ© observĂ©es sur les rĂ©seaux dâune banque amĂ©ricaine, dâun aĂ©roport amĂ©ricain, dâONG aux US et au Canada, et de la filiale israĂ©lienne dâun Ă©diteur logiciel US. đš DĂ©tails techniques et artifacts clĂ©s Backdoor inconnue baptisĂ©e Dindoor, basĂ©e sur le runtime Deno (JavaScript/TypeScript), repĂ©rĂ©e chez lâĂ©diteur (cible en IsraĂ«l), une banque US et une ONG canadienne; signĂ©e avec un certificat au nom « Amy Cherne ». Tentative dâexfiltration chez lâĂ©diteur via Rclone vers un bucket Wasabi (commande observĂ©e: rclone copy CSIDL_DRIVE_FIXED\backups wasabi:[REMOVED]:/192.168.0.x). Autre backdoor Python nommĂ©e Fakeset sur les rĂ©seaux de lâaĂ©roport US et dâune ONG US; signĂ©e avec « Amy Cherne » et « Donald Gay » (ce dernier dĂ©jĂ liĂ© Ă Seedworm). TĂ©lĂ©chargements depuis Backblaze B2: gitempire.s3.us-east-005.backblazeb2.com et elvenforest.s3.us-east-005.backblazeb2.com. Le certificat « Donald Gay » a aussi servi Ă signer Stagecomp (loader) qui dĂ©ploie Darkcomp; ces familles sont associĂ©es Ă Seedworm (Google, Microsoft, Kaspersky). đ Paysage de menace Ă©largi et contexte ...