Netcrook Logo
👤 AGONY
🗓️ 10 Apr 2026   🌍 Middle-East

De Téhéran à Moscou : comment les espions iraniens se sont infiltrés dans le marché russe de la cybercriminalité

Des enquêteurs révèlent la dernière campagne d’espionnage de MuddyWater, alimentée par des logiciels malveillants russes en location, dévoilant une nouvelle ère d’attaques hybrides menées par des États-nations.

Par un matin froid de mars, des chercheurs en cybersécurité ont plongé au cœur d’une vaste conspiration numérique. Ce qu’ils ont découvert, c’est un réseau complexe reliant le tristement célèbre groupe d’espionnage iranien MuddyWater au monde obscur de la cybercriminalité russe. L’opération, baptisée « ChainShell », marque un tournant spectaculaire : des espions soutenus par des États deviennent désormais clients de services criminels de logiciels malveillants, brouillant comme jamais la frontière entre espionnage et piratage à but lucratif.

La menace hybride : l’espionnage d’État rencontre le cybercrime en tant que service

Traditionnellement, MuddyWater - également connu sous les noms de Seedworm ou Static Kitten - développait ses propres portes dérobées PowerShell et réutilisait des outils de surveillance disponibles sur le marché. Mais les chercheurs de JUMPSEC ont désormais documenté un lien opérationnel direct entre MuddyWater et TAG-150, un groupe russophone opérant la plateforme CastleRAT MaaS. Au lieu de concevoir leurs propres malwares, MuddyWater les loue, devenant un client payant dans un écosystème criminel grouillant d’autres acteurs malveillants.

La percée a eu lieu lorsque des analystes ont découvert un serveur mal configuré hébergeant un script PowerShell, reset.ps1, truffé de commentaires en farsi et ciblant des adresses IP israéliennes. Ce script déployait ChainShell, un agent JavaScript jusqu’alors inconnu qui utilise des smart contracts Ethereum pour localiser dynamiquement son serveur de command-and-control (C2). En dissimulant les détails du C2 sur la blockchain, les attaquants contournent les techniques classiques de démantèlement, rendant leur infrastructure bien plus résiliente.

ChainShell agit comme une « coquille mince » : il ne vole pas par défaut de mots de passe ou de fichiers, mais exécute toutes les commandes envoyées par l’opérateur distant, puis renvoie les résultats via des WebSockets chiffrés. Parallèlement à ChainShell, les enquêteurs ont trouvé des charges utiles CastleRAT - des malwares cachés dans des images JPEG stéganographiques, tous rattachés à la même base de code MaaS russe.

Indices techniques : certificats, JWT et attribution

L’attribution dans le cyberespace est notoirement complexe, mais le lien MuddyWater-TAG-150 repose sur des preuves tangibles. Des certificats de signature de code émis sous des noms comme « Amy Cherne » et « Donald Gay » (précédemment associés à MuddyWater) ont été utilisés pour signer à la fois le nouveau malware et les charges utiles CastleRAT. L’analyse comportementale des malwares a révélé des identifiants de campagne, des userIDs et des identifiants JWT réutilisés sur les infrastructures iranienne et russe.

Les journaux du serveur compromis ont même montré des opérateurs MuddyWater testant les ports C2 de CastleRAT. La chronologie de la campagne révèle une activité continue, même après l’exposition de certains aspects de l’opération, avec de nouvelles charges utiles et installateurs apparus jusqu’en mars.

Pourquoi c’est important

Cette collaboration marque un tournant dans la cyber-espionnage. Les acteurs étatiques mêlent désormais leurs objectifs géopolitiques à la rapidité et à la sophistication des services cybercriminels. Pour les défenseurs, cela signifie que des malwares ressemblant à de la cybercriminalité russe ordinaire peuvent en réalité être des instruments d’espionnage soutenus par un État. Une mauvaise classification initiale pourrait retarder des réponses cruciales, exposant des secteurs sensibles - notamment en Israël - à des risques accrus.

À mesure que les frontières entre piratage étatique et criminalité se dissolvent, les organisations doivent surveiller non seulement l’origine des malwares, mais aussi l’intention et l’infrastructure qui les sous-tendent. À l’ère de ChainShell, l’ennemi peut être à la fois un gouvernement et un mercenaire à louer, dissimulé derrière une simple ligne de code.

WIKICROOK

  • Malware : Un malware est un logiciel malveillant conçu pour s’infiltrer, endommager ou voler des données sur des dispositifs informatiques sans le consentement de l’utilisateur.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spécifiques, parfois à des fins malveillantes.
  • Stéganographie : La stéganographie dissimule des messages ou du code secrets dans des fichiers courants, comme des images ou de l’audio, rendant l’information cachée difficile à détecter.
  • Code : Le code est un ensemble d’instructions écrites pour les ordinateurs. En cybersécurité, l’analyse du code permet de détecter des logiciels non autorisés ou suspects, y compris des menaces cachées.
  • Smart contract blockchain : Un smart contract blockchain est un code auto-exécutant sur une blockchain, parfois utilisé lors de cyberattaques pour dissimuler ou partager des informations sur les serveurs C2.
Iranian Espionage Cybercrime Malware
AGONY AGONY
Elite Offensive Security Commander
← Back to news