Netcrook Logo
👤 NEURALSHIELD
🗓️ 01 Nov 2025   🌍 Europe

Jeux d’Ombres : Les hackers ‘SmudgedSerpent’ s’infiltrent dans les cercles politiques américains

Des hackers mystérieux, mêlant anciennes tactiques et nouvelles astuces, ciblent des experts américains alors que les tensions Iran–Israël s’intensifient - faisant monter les enjeux de l’espionnage cybernétique mondial.

En Bref

  • ‘SmudgedSerpent’ est un nouveau groupe de cybermenace ciblant des universitaires et experts en politique américains spécialisés sur l’Iran.
  • Les attaques ont coïncidé avec les tensions Iran–Israël à la mi-2025.
  • Les hackers ont utilisé de faux e-mails, se faisant passer pour des membres de think tanks, afin d’inciter les victimes à divulguer leurs identifiants.
  • Les techniques imitent celles de groupes iraniens connus soutenus par l’État, tels que Charming Kitten et MuddyWater.
  • Des malwares déguisés en Microsoft Teams ou OnlyOffice ont été utilisés pour obtenir un accès à distance aux ordinateurs des victimes.

La menace qui s’enroule : comment SmudgedSerpent a frappé

À l’été 2025, alors que les tensions entre l’Iran et Israël couvaient et que les gros titres annonçaient un conflit, une bataille plus discrète faisait rage dans les boîtes mail de l’élite américaine de la politique étrangère. Un nouveau groupe de hackers, baptisé ‘SmudgedSerpent’, est sorti de l’ombre numérique, tissant ensemble des astuces classiques et de nouvelles tromperies pour piéger les experts focalisés sur l’Iran - précisément au moment où leurs analyses étaient cruciales.

L’opération, révélée par les chercheurs en sécurité de Proofpoint, a ciblé plus de 20 universitaires et spécialistes politiques basés aux États-Unis. Les appâts des hackers étaient aussi subtils que la langue d’un serpent : des e-mails évoquant des questions iraniennes urgentes, des invitations à collaborer sur des recherches d’actualité, et même des usurpations d’identité de figures respectées de think tanks comme la Brookings Institution et le Washington Institute. L’objectif était clair : voler des identifiants et s’immiscer dans l’esprit de ceux qui façonnent la politique américaine.

Vieilles ficelles, nouveaux déguisements

Les méthodes de SmudgedSerpent rappellent celles des célèbres groupes iraniens comme Charming Kitten (TA453) et MuddyWater (TA450), qui traquent depuis des années les analystes occidentaux. D’abord, les hackers instaurent la confiance par des échanges anodins, puis tendent leur piège : des liens vers de fausses pages de connexion ou des “documents” pour des réunions à venir. Les victimes qui cliquaient se retrouvaient sur des sites factices soigneusement conçus - se faisant passer pour Microsoft Teams ou OnlyOffice - destinés à récolter les mots de passe de leurs comptes Microsoft.

Dans une variante, les attaquants abandonnaient parfois le prétexte de la protection par mot de passe s’ils sentaient de la méfiance, redirigeant directement les cibles vers une autre fausse page de connexion. La charge utile ? Des installateurs malveillants déguisés en outils professionnels courants, qui déployaient discrètement des logiciels légitimes de surveillance à distance comme PDQ Connect ou ISL Online. Cela permettait aux hackers de potentiellement observer, enregistrer ou contrôler l’ordinateur de la victime - comme un cambrioleur utilisant les clés du concierge plutôt que de briser une fenêtre.

La vue d’ensemble : l’espionnage en temps de crise

Les experts voient la campagne de SmudgedSerpent comme une nouvelle étape dans l’évolution des opérations cyber iraniennes. Si les empreintes techniques rappellent les attaques passées, le choix du moment et des cibles révèle un changement stratégique : collecter des renseignements sur la politique occidentale, la recherche académique et la technologie à un moment de tension géopolitique. L’utilisation par le groupe de domaines de sites à thème médical et l’hébergement sur OnlyOffice suggèrent également une collaboration entre différentes branches du renseignement iranien.

Les campagnes de phishing comme celle-ci sont devenues un outil privilégié des États-nations, de l’infâme Fancy Bear russe au groupe Lazarus nord-coréen. Mais le mélange de patience, d’usurpation et de ruse technique de SmudgedSerpent révèle un nouveau degré de sophistication - et lance un avertissement à ceux qui se trouvent dans la ligne de mire des luttes de pouvoir mondiales.

Alors que les anneaux numériques de SmudgedSerpent se resserrent autour du monde politique et académique, une chose est claire : à l’ère de l’espionnage cybernétique, la confiance est aussi fragile qu’un mot de passe - et tout aussi facile à dérober.

WIKICROOK

  • Phishing : Le phishing est une cybercriminalité où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Logiciel de surveillance et gestion à distance (RMM) : Un logiciel RMM permet au personnel informatique d’accéder, de maintenir et de supporter à distance des ordinateurs et réseaux pour une gestion efficace.
  • Vol d’identifiants : Le vol d’identifiants consiste à dérober des informations de connexion, telles que noms d’utilisateur et mots de passe, souvent via de faux sites web ou des e-mails trompeurs.
  • Installateur MSI : Un installateur MSI est un format de fichier Windows utilisé pour installer, mettre à jour ou supprimer des logiciels. Il peut aussi être exploité pour diffuser des programmes malveillants.
  • Attaque par usurpation d’identité : Une attaque par usurpation d’identité survient lorsqu’un cybercriminel se fait passer pour une personne ou une marque de confiance afin de tromper les victimes et d’accéder à des informations sensibles.
NEURALSHIELD NEURALSHIELD
AI System Protection Engineer
← Back to news