Netcrook Logo
👤 CIPHERWARDEN
🗓️ 23 Oct 2025   🗂️ Threats    

Ombre sur le sable : des hackers iraniens ciblent le Moyen-Orient et l'Afrique du Nord dans une vaste campagne de phishing sophistiquée

Une vaste campagne de cyber-espionnage liée au groupe MuddyWater d’Iran a piégé plus de 100 organisations à travers le Moyen-Orient et l’Afrique du Nord.

En bref

  • Plus de 100 entités gouvernementales et internationales à travers le Moyen-Orient et l’Afrique du Nord ont été ciblées.
  • Le groupe MuddyWater, soutenu par l’État iranien, a utilisé des emails de phishing pour déployer le malware Phoenix backdoor.
  • Les attaquants ont obtenu l’accès via un compte email compromis et ont utilisé des services VPN pour masquer leur localisation.
  • MuddyWater est lié au ministère iranien du Renseignement et est actif depuis au moins 2017.
  • Les cibles de la campagne incluaient des organisations humanitaires et internationales, suggérant des motivations géopolitiques.

Le mirage numérique : déroulement de l’attaque

Imaginez ouvrir votre boîte de réception et y trouver un message à l’apparence officielle - urgent, apparemment authentique, et portant le sceau de l’autorité. Mais derrière ce mirage numérique se cache un prédateur patient. C’est la réalité pour des dizaines d’organisations récemment prises dans l’une des plus grandes campagnes de phishing à frapper le Moyen-Orient et l’Afrique du Nord depuis des années, orchestrée par le groupe MuddyWater lié à l’État iranien.

Les attaquants ont commencé avec un compte email compromis, exploitant la confiance en envoyant des messages semblant provenir de sources familières. Ces emails contenaient des pièces jointes Microsoft Word qui, une fois ouvertes et activées, invitaient discrètement le backdoor Phoenix - un malware conçu pour contourner les défenses et donner le contrôle à distance à ses opérateurs. Les hackers ont utilisé des services VPN populaires comme NordVPN pour masquer leurs traces numériques, rendant leur activité plus difficile à retracer et leurs origines plus obscures.

MuddyWater : anciennes tactiques, nouveaux procédés

MuddyWater - également connu sous les noms TA450 et Seedworm - est une présence persistante dans le monde du cyber-espionnage depuis au moins 2017. Lié au ministère iranien du Renseignement, le groupe est tristement célèbre pour cibler les gouvernements, les infrastructures énergétiques et les télécommunications au Moyen-Orient, en Asie du Sud, et parfois même dans des pays de l’OTAN. Leur objectif principal n’est pas l’argent facile, mais le renseignement à long terme : le genre de secrets qui peuvent influencer la diplomatie ou faire pencher la balance dans les conflits régionaux.

Cette dernière campagne montre une évolution dans leur approche. En mélangeant des adresses email gouvernementales officielles avec des adresses personnelles Yahoo et Gmail, MuddyWater a démontré une compréhension fine des réseaux de leurs cibles - signe d’une reconnaissance minutieuse. Le backdoor Phoenix, actif depuis avril, est habile à collecter tout, des noms d’ordinateurs et versions de Windows aux identifiants utilisateurs, permettant aux attaquants de rester indétectés pendant des mois.

Pourquoi maintenant ? Les courants géopolitiques sous-jacents

Les analystes suggèrent que le timing n’est pas une coïncidence. Alors que les tensions régionales persistent et que les organisations internationales s’impliquent de plus en plus dans l’humanitaire, la valeur du renseignement de telles cibles n’a jamais été aussi élevée. En infiltrant ces réseaux, MuddyWater ne pêche pas seulement des secrets, mais cherche à obtenir un levier sur l’échiquier mouvant de la géopolitique au Moyen-Orient. Les campagnes précédentes du groupe ont suivi ce schéma, comme leurs attaques de 2021 contre les secteurs gouvernementaux et énergétiques en Turquie et dans le Golfe, qui utilisaient également le phishing et des malwares personnalisés pour établir des points d’appui pour l’espionnage.

Group-IB, la société de cybersécurité qui a détaillé cette dernière opération, avertit que l’évolution des méthodes de MuddyWater - mêlant ingénierie sociale et furtivité technique - annonce d’autres activités à venir. Tant que la confiance pourra être simulée et que les portes numériques resteront entrouvertes, les sables du cyberespace resteront traîtres.

Cette campagne est un rappel brutal : dans le désert numérique, le vrai danger se cache souvent derrière un visage familier. La vigilance, et non seulement la technologie, est la première ligne de défense contre des adversaires qui prospèrent grâce à la tromperie et à la patience.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Backdoor : Une backdoor est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité normaux, souvent utilisé par les attaquants pour prendre le contrôle en secret.
  • VPN (Réseau Privé Virtuel) : Un VPN chiffre votre connexion Internet et masque votre adresse IP, offrant une confidentialité et une sécurité supplémentaires lors de la navigation en ligne ou de l’utilisation du Wi-Fi public.
  • Macros : Les macros sont de petits scripts dans les documents qui automatisent des tâches. Si elles sont activées, les attaquants peuvent les utiliser pour diffuser des malwares ou compromettre la sécurité.
  • Espionnage : L’espionnage est la collecte secrète d’informations sensibles, souvent par des gouvernements ou des organisations, afin d’obtenir un avantage politique, économique ou stratégique.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news