Netcrook Logo
👤 AUDITWOLF
🗓️ 04 Dec 2025   🌍 Middle-East

Les hackers MuddyWater d’Iran jouent au Snake pour se faufiler à travers les défenses cyber israéliennes

Des espions cyber iraniens réinventent les astuces des jeux vidéo classiques pour lancer des attaques plus furtives contre des organisations israéliennes, annonçant une nouvelle ère de tromperie numérique.

En bref

  • MuddyWater, un groupe de hackers lié à l’État iranien, a ciblé au moins 17 organisations israéliennes lors d’une récente campagne.
  • Les attaquants ont utilisé un chargeur de malware déguisé en jeu rétro "Snake" pour échapper à la détection des systèmes de sécurité.
  • Le nouveau malware, baptisé "Fooder", retarde ses actions malveillantes pour contourner les analyses de sécurité automatisées.
  • Les tactiques de MuddyWater témoignent d’un passage à des attaques plus sophistiquées et discrètes - mais des erreurs opérationnelles persistent.
  • Les cibles comprenaient des universités, des sociétés d’ingénierie, des services publics et des administrations locales à travers Israël.

Game Over ? Pas tout à fait - Un classique revient hanter

Imaginez ceci : un serpent numérique glissant silencieusement dans la mémoire d’un ordinateur, non pas pour marquer des points, mais pour dérober des secrets. Ce n’est pas un passe-temps d’enfance - c’est la dernière ruse de MuddyWater, l’un des groupes de cyber-espionnage iraniens les plus notoires. Lors de leur récente attaque contre des institutions israéliennes, ces hackers ont troqué la force brute contre la ruse, dissimulant leur code malveillant derrière les mécaniques familières d’un jeu mobile des années 1990.

De maladroit à rusé : l’évolution de MuddyWater

MuddyWater, également connu sous le nom de code TA450, est depuis longtemps célèbre pour ses attaques brouillonnes, parfois amateurs. Historiquement, leurs opérations laissaient des traces évidentes - fichiers inutiles, malwares redondants et une activité réseau bruyante. Pourtant, selon les chercheurs d’ESET, leur dernière campagne marque un tournant. Entre septembre 2023 et mars 2024, le groupe a frappé 17 cibles israéliennes, dont des universités, des sociétés d’ingénierie et des infrastructures critiques, ainsi qu’une entreprise technologique égyptienne.

Ce qui distingue cette campagne, c’est l’introduction d’un nouveau chargeur de malware appelé "Fooder". Au lieu de lancer les attaques immédiatement, Fooder imite la logique du vieux jeu Snake, utilisant des délais délibérés - à l’image du mouvement en boucle du jeu - pour masquer ses véritables intentions. Cela signifie que les outils de sécurité automatisés, qui ne surveillent souvent que quelques minutes, risquent de manquer le vrai danger qui n’apparaît qu’après une accalmie initiale.

Jeux rétro, menaces modernes : la subtilité technique

Le fait de déguiser un malware en programme innocent n’est pas nouveau, mais l’utilisation par MuddyWater d’un chargeur inspiré de Snake est une astuce ingénieuse. Le code affiche même une bannière espiègle "Welcome to snake Game", offrant une dénégation plausible et semant la confusion chez les analystes. Plus important encore, Fooder exploite les systèmes de cryptographie de Windows (appelés CNG) pour se fondre parmi les processus légitimes - une astuce comparable à un voleur déguisé en agent d’entretien pour circuler incognito.

Ces tactiques de "living off the land", où les attaquants utilisent les outils système intégrés plutôt que du code sur mesure, rendent la détection et l’investigation bien plus difficiles. Même si les opérateurs de MuddyWater commettent encore des erreurs de débutants - comme déployer des outils redondants ou laisser des journaux inutiles - l’évolution est nette : plus furtifs, plus persistants, et toujours plus créatifs.

Géopolitique et échiquier cybernétique

Le timing de cette campagne n’est pas un hasard. Alors que les tensions entre l’Iran et Israël persistent, le cyberespace devient le prolongement obscur du conflit réel. Ces attaques ne visent pas seulement à voler des données - elles relèvent aussi de la guerre psychologique, sondent les défenses et envoient un message. Des groupes APT (menace persistante avancée) similaires, comme Fancy Bear en Russie ou APT41 en Chine, ont utilisé des tactiques comparables pour infiltrer leurs adversaires, s’inspirant souvent des innovations des uns et des autres.

Pour les défenseurs, la leçon est claire : les menaces évidentes d’hier laissent place à des adversaires subtils et patients, prêts à jouer sur la durée - au sens propre comme au figuré.

La manœuvre de MuddyWater inspirée de Snake est à la fois un clin d’œil nostalgique et un avertissement. Alors que les attaquants transforment les jeux d’enfance en outils d’espionnage numérique, les défenseurs doivent eux aussi élever leur niveau de jeu - sous peine d’être dépassés dans une partie où l’enjeu est la sécurité nationale elle-même.

WIKICROOK

  • Chargeur de malware : Un chargeur de malware est un programme qui installe secrètement d’autres logiciels malveillants, souvent plus dangereux, sur un appareil ou un réseau.
  • Living off the Land : "Living off the Land" signifie que les attaquants utilisent des outils système de confiance (LOLBins) pour des actions malveillantes, rendant leurs activités furtives et difficiles à détecter.
  • Menace Persistante Avancée (APT) : Une Menace Persistante Avancée (APT) est une cyberattaque ciblée et prolongée menée par des groupes expérimentés, souvent soutenus par des États, visant à voler des données ou perturber des opérations.
  • Commande : Une commande est une instruction envoyée à un appareil ou un logiciel, souvent par un serveur C2, lui ordonnant d’exécuter des actions spécifiques, parfois à des fins malveillantes.
  • API de cryptographie (CNG) : L’API de cryptographie (CNG) est une fonctionnalité de Windows pour gérer le chiffrement et la sécurité, mais elle peut aussi être détournée par des hackers pour dissimuler des actions malveillantes.
MuddyWater Cybersecurity Israeli Organizations
AUDITWOLF AUDITWOLF
Cyber Audit Commander
← Back to news