MuddyWater, un groupe de hackers rattach\u00e9 aux services de renseignement iraniens, s’est infiltr\u00e9 dans les r\u00e9seaux d’une banque, d’un a\u00e9roport et d’un \u00e9diteur de logiciels am\u00e9ricains avec deux nouvelles portes d\u00e9rob\u00e9es. L’op\u00e9ration, rep\u00e9r\u00e9e par Symantec, s’est intensifi\u00e9e apr\u00e8s les frappes am\u00e9ricaines et isra\u00e9liennes sur l’Iran fin f\u00e9vrier.<\/p>\n
C’est l’\u00e9quipe Threat Hunter de Symantec qui a lev\u00e9 le li\u00e8vre. Depuis d\u00e9but f\u00e9vrier 2026, le groupe MuddyWater (aussi connu sous le nom de Seedworm) a d\u00e9ploy\u00e9 deux malwares jusqu’ici inconnus. Le premier, Dindoor, utilise Deno, un environnement d’ex\u00e9cution JavaScript, et a \u00e9t\u00e9 sign\u00e9 avec un certificat \u00e9mis au nom d’une certaine “Amy Cherne”.<\/p>\n
Le second, Fakeset, est cod\u00e9 en Python et sign\u00e9 par un certain “Donald Gay”, un nom d\u00e9j\u00e0 li\u00e9 \u00e0 d’anciens outils du groupe comme Stagecomp et Darkcomp. Dans les deux cas, les attaquants ont tent\u00e9 d’exfiltrer des donn\u00e9es vers le cloud Wasabi via Rclone, un outil de synchronisation bien connu des administrateurs syst\u00e8me.<\/p>\n
C\u00f4t\u00e9 victimes, on retrouve une banque am\u00e9ricaine, un a\u00e9roport, un \u00e9diteur de logiciels li\u00e9 \u00e0 la d\u00e9fense et \u00e0 l’a\u00e9rospatiale qui a des op\u00e9rations en Isra\u00ebl, et des ONG aux Etats-Unis et au Canada. MuddyWater \u00e9tait d\u00e9j\u00e0 pr\u00e9sent sur ces r\u00e9seaux d\u00e9but f\u00e9vrier, mais l’activit\u00e9 a nettement augment\u00e9 apr\u00e8s le 28 f\u00e9vrier et le lancement de l’op\u00e9ration Epic Fury, les frappes militaires coordonn\u00e9es des Etats-Unis et d’Isra\u00ebl contre l’Iran.<\/p>\n
Les frappes ont conduit \u00e0 la mort du guide supr\u00eame Ali Khamenei le 1er mars, et les chercheurs notent que les op\u00e9rations cyber iraniennes se sont acc\u00e9l\u00e9r\u00e9es dans la foul\u00e9e.<\/p>\n
Le FBI, la CISA et le NCSC britannique consid\u00e8rent que MuddyWater op\u00e8re pour le compte du minist\u00e8re iranien du Renseignement depuis 2018. Ce qui facilite le rattachement, c’est la r\u00e9utilisation de certificats de signature entre les nouvelles portes d\u00e9rob\u00e9es et les outils plus anciens du groupe.<\/p>\n
Google, Microsoft et Kaspersky ont d’ailleurs confirm\u00e9 l’analyse de Symantec. Quant \u00e0 l’objectif exact, les chercheurs restent prudents : espionnage, collecte de renseignements, ou pr\u00e9paration de futures actions de sabotage, difficile de trancher. Le groupe privil\u00e9gie en g\u00e9n\u00e9ral le phishing et l’exploitation de vuln\u00e9rabilit\u00e9s dans des applications expos\u00e9es sur Internet pour s’introduire dans les r\u00e9seaux.<\/p>\n
Le plus \u00e9tonnant dans cette histoire, c’est la dur\u00e9e. Des semaines d’infiltration sans que personne ne bronche, sur des r\u00e9seaux qui ne sont pas exactement anodins. Et avec le conflit actuel entre l’Iran, les Etats-Unis et Isra\u00ebl, on se doute bien que Symantec n’a gratt\u00e9 que la surface.<\/p>\n
Sources : MuddyWater, un groupe de hackers rattach\u00e9 aux services de renseignement iraniens, s’est infiltr\u00e9 dans les r\u00e9seaux d’une banque, d’un a\u00e9roport et d’un \u00e9diteur de logiciels am\u00e9ricains avec deux nouvelles portes d\u00e9rob\u00e9es. L’op\u00e9ration, rep\u00e9r\u00e9e par Symantec, s’est intensifi\u00e9e apr\u00e8s les frappes am\u00e9ricaines et isra\u00e9liennes sur l’Iran fin f\u00e9vrier. Deux portes d\u00e9rob\u00e9es in\u00e9dites C’est l’\u00e9quipe Threat Hunter de Symantec qui a lev\u00e9 le li\u00e8vre. Depuis d\u00e9but f\u00e9vrier 2026, le groupe MuddyWater (aussi connu sous le nom de Seedworm) a d\u00e9ploy\u00e9 deux malwares jusqu’ici inconnus. Le premier, Dindoor, utilise Deno, un environnement d’ex\u00e9cution JavaScript, et a \u00e9t\u00e9 sign\u00e9 avec un certificat \u00e9mis au nom d’une certaine “Amy Cherne”. Le second, Fakeset, est cod\u00e9 en Python et sign\u00e9 par un certain “Donald Gay”, un nom d\u00e9j\u00e0 li\u00e9 \u00e0 d’anciens outils du groupe comme Stagecomp et Darkcomp. Dans les deux cas, les attaquants ont tent\u00e9 d’exfiltrer des donn\u00e9es vers le cloud Wasabi via Rclone, un outil de synchronisation bien connu des administrateurs syst\u00e8me. Des cibles sensibles, un lien avec Isra\u00ebl C\u00f4t\u00e9 victimes, on retrouve une banque am\u00e9ricaine, un a\u00e9roport, un \u00e9diteur de logiciels li\u00e9 \u00e0 la d\u00e9fense et \u00e0 l’a\u00e9rospatiale qui a des op\u00e9rations en Isra\u00ebl, et des ONG aux Etats-Unis et au Canada. MuddyWater \u00e9tait d\u00e9j\u00e0 pr\u00e9sent sur ces r\u00e9seaux d\u00e9but f\u00e9vrier, mais l’activit\u00e9 a nettement augment\u00e9 apr\u00e8s le 28 f\u00e9vrier et le lancement de l’op\u00e9ration Epic Fury, les frappes militaires coordonn\u00e9es des Etats-Unis et d’Isra\u00ebl contre l’Iran. Les frappes ont conduit \u00e0 la mort du guide supr\u00eame Ali Khamenei le 1er mars, et les chercheurs notent que les op\u00e9rations cyber iraniennes se sont acc\u00e9l\u00e9r\u00e9es dans la foul\u00e9e. Le FBI confirme le lien avec T\u00e9h\u00e9ran Le FBI, la CISA et le NCSC britannique consid\u00e8rent que MuddyWater op\u00e8re pour le compte du minist\u00e8re iranien du Renseignement depuis 2018. Ce qui facilite le rattachement, c’est la r\u00e9utilisation de certificats de signature entre les nouvelles portes d\u00e9rob\u00e9es et les outils plus anciens du groupe. Google, Microsoft et Kaspersky ont d’ailleurs confirm\u00e9 l’analyse de Symantec. Quant \u00e0 l’objectif exact, les chercheurs restent prudents : espionnage, collecte de renseignements, ou pr\u00e9paration de futures actions de sabotage, difficile de trancher. Le groupe privil\u00e9gie en g\u00e9n\u00e9ral le phishing et l’exploitation de vuln\u00e9rabilit\u00e9s dans des applications expos\u00e9es sur Internet pour s’introduire dans les r\u00e9seaux. Le plus \u00e9tonnant dans cette histoire, c’est la dur\u00e9e. Des semaines d’infiltration sans que personne ne bronche, sur des r\u00e9seaux qui ne sont pas exactement anodins. Et avec le conflit actuel entre l’Iran, les Etats-Unis et Isra\u00ebl, on se doute bien que Symantec n’a gratt\u00e9 que la surface. Sources : Security.com , Cyble<\/p>\n","protected":false},"author":1,"featured_media":2460,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2459","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2459","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2459"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2459\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2460"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2459"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nSecurity.com<\/a>
\n,
\nCyble<\/a>\n<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"