Menu
Recherche

ESET : Le Groupe Iranien MuddyWater Intensifie ses Attaques – Israël et Égypte Ciblé par une Nouvelle Backdoor Inédite

Par : challenges

Date:

HIGH-TECH

ESET Research a découvert une campagne de cyberespionnage inédite menée par le groupe étatique iranien MuddyWater (aussi connu sous les noms Mango Sandstorm ou TA450). Utilisant un arsenal inédit incluant la backdoor MuddyViper et le loader Fooder, l'opération vise principalement les infrastructures critiques en Israël (technologie, ingénierie, industrie, éducation) avec une victime confirmée en Égypte. Le groupe renforce sa furtivité et sa persistance pour ses attaques contre les administrations et infrastructures critiques.

En Bref [Cacher]

Une nouvelle opération de cyberespionnage ciblant Israël et l’Égypte

Les chercheurs d’ESET ont détecté une campagne inédite menée par MuddyWater, groupe de cyberespionnage aligné sur les intérêts de l’Iran. Les attaques visent principalement des infrastructures critiques et des organisations israéliennes, tandis qu’une victime a également été confirmée en Égypte. En Israël, les secteurs touchés comprennent la technologie, l’ingénierie, l’industrie/manufacture, les administrations locales et l’éducation.

MuddyWater, également connu sous les noms Mango Sandstorm ou TA450, reste l’un des groupes les plus actifs au Moyen-Orient. Historiquement lié au ministère iranien du Renseignement et de la Sécurité nationale, il mène régulièrement des opérations persistantes contre des gouvernements et des infrastructures stratégiques.

MuddyViper : une backdoor avancée pour renforcer furtivité et persistance

Cette nouvelle campagne se distingue par l’introduction d’un arsenal inédit, conçu pour améliorer la furtivité et la persistance. Au cœur de ces outils, MuddyViper, une backdoor capable de :

  • Collecter des informations système
  • Exécuter des commandes distantes
  • Transférer des fichiers
  • Exfiltrer les identifiants Windows et les données des navigateurs

La présence de voleurs d’identifiants supplémentaires et du chargeur évolué Fooder, déguisé en jeu Snake, renforce l’accès initial et la capacité d’exfiltration.

Spearphishing et utilisation de plateformes légitimes

L’accès initial repose sur des campagnes de spearphishing intégrant des PDF piégés. Ces documents redirigent vers des installateurs RMM (Remote Monitoring & Management) hébergés sur des services légitimes tels que :

  • OneHub
  • Egnyte
  • Mega

Les liens permettent de télécharger des outils authentiques comme Atera, Level, PDQ ou SimpleHelp, facilitant l’implantation furtive. L’opération intègre également la backdoor VAX One, se faisant passer pour des logiciels connus tels que Veeam, AnyDesk, Xerox ou OneDrive Update.

Fooder : un chargeur furtif inspiré du jeu Snake

MuddyWater introduit une évolution majeure de ses techniques : Fooder, un chargeur sophistiqué injectant MuddyViper directement en mémoire via un chargement réfléchissant, évitant toute écriture sur le disque.

Plusieurs variantes de Fooder se déguisent en jeu Snake, ce qui a inspiré le nom MuddyViper. Le chargeur intègre des mécanismes visant à contourner l’analyse automatisée :

  • Fonction de délai inspirée de la logique du jeu Snake
  • Appels API espacés pour ralentir l’exécution
  • Utilisation de CNG, l’API cryptographique Windows de nouvelle génération
  • Réduction des sessions interactives pour minimiser les traces

Cette sophistication marque une nette montée en capacité opérationnelle du groupe.

Un arsenal étendu de voleurs d’identifiants

Après compromission, plusieurs infostealers dédiés sont déployés, dont :

  • CE-Notes : ciblant les navigateurs basés sur Chromium
  • LP-Notes : préparation et validation des identifiants volés
  • Blub : extraction des données d’authentification depuis Chrome, Edge, Firefox et Opera

Cet ensemble renforce la capacité de MuddyWater à mener un cyberespionnage approfondi et durable.

Historique et évolution des opérations de MuddyWater

Attribué publiquement pour la première fois en 2017 par Unit 42, MuddyWater s’est spécialisé dans les documents piégés et l’ingénierie sociale. Ses opérations marquantes incluent :

  • Campagne Quicksand (2020) : espionnage contre des entités gouvernementales israéliennes et des télécoms
  • Attaques contre des organisations politiques en Turquie
  • Campagne mars–avril 2023 : victime non identifiée en Arabie Saoudite
  • Campagne janvier–février 2025 : chevauchement avec Lyceum, un sous-groupe d’OilRig

Ce dernier point suggère que MuddyWater pourrait jouer ponctuellement le rôle de fournisseur d’accès initial pour d’autres groupes alignés sur l’Iran.

Pour aller plus loin

L’analyse technique complète est disponible dans l’article ESET Research “MuddyWater : Serpents sur la rive de la rivière” sur WeLiveSecurity.com.

Article précédent
Galaxy Z TriFold : Samsung redéfinit le smartphone pliable avec un format triple-pli et un écran 10’’

Partager l'article:

Articles Recents

S'abonner

VIDÉOS SPONSORISÉES
VIDÉOS SPONSORISÉES

00:00:30

OPPO Reno12 : L’Alliance Parfaite entre Design, Intelligence Artificielle et Performance

challenges challenges -
Les séries Reno12 d'OPPO marquent une avancée significative dans le domaine de la photographie mobile grâce à l'intégration poussée de l'intelligence artificielle.
00:02:15

Abdelaziz Makhloufi, PDG de Cho Group, met en lumière l’excellence de l’huile d’olive tunisienne sur BFM Business

challenges challenges -
Fort de son expertise reconnue dans le secteur oléicole, Abdelaziz Makhloufi, Président-directeur général du groupe Cho, a saisi l'opportunité de l'émission BFM Business pour promouvoir l'huile d'olive tunisienne à l'échelle internationale.
00:00:32

Lancement du nouveau Huawei Nova Y61

challenges challenges -
Huawei Consumer Business Group annonce le lancement du HUAWEI nova Y61, le plus récent smartphone de la série HUAWEI nova Y.
00:00:00

Lancement en Tunisie du HUAWEI Band 7, un bracelet intelligent ultra-mince à affichage intégral et à batterie de longue durée

challenges challenges -
Bracelet marqué par un design élégant, une autonomie de...

CONTENUS SPONSORISÉS
CONTENUS SPONSORISÉS

Ramadan : Un Mois Propice pour rompre avec la cigarette

challenges challenges -
Le mois sacré de Ramadan offre une opportunité unique pour ceux qui désirent se libérer de l'emprise de la cigarette.

OPPO A78, le nouveau smartphone bientôt en Tunisie

challenges challenges -
OPPO, la marque leader sur le marché mondial des appareils connectés, vient d’annoncer l’arrivée sur le marché tunisien de son dernier smartphone A78, à partir du 1er septembre 2023.
00:03:27

OPPO Tunisie lance les nouveaux smartphones Reno8 T 4G, Reno8 T 5G, un design élégant et une fluidité totale

challenges challenges -
OPPO vient d’annoncer le lancement, en Tunisie, de ses derniers modèles de smartphones de la série Reno, les nouveaux Reno8 T et Reno8 T 5G, avec une offre spéciale durant tout le mois de mars 2023.

Oppo consolide sa position et met en avant la nouvelle technologie de son Reno7

challenges challenges -
OPPO, la marque internationale leader dans l’industrie des smartphones et des objets connectés, a développé ces dernières années sa position et ses activités en Tunisie, dans le cadre d’une extension sur les marchés de la région Moyen Orient et Afrique.

A lire également
A lire également

00:02:01

Galaxy Z TriFold : Samsung redéfinit le smartphone pliable avec un format triple-pli et un écran 10’’

Amjed KHELIFI Amjed KHELIFI -
Le Galaxy Z TriFold inaugure une nouvelle génération de smartphones pliables. Son écran 10’’ doublement déployable, sa charnière Armor FlexHinge, sa batterie 5 600 mAh et ses fonctions Galaxy AI en font l’appareil le plus polyvalent jamais conçu par Samsung.

ESET Research : le groupe chinois PlushDaemon détourne des routeurs pour mener des attaques AitM

challenges challenges -
Les chercheurs d'ESET dévoilent EdgeStepper, un implant réseau utilisé par PlushDaemon pour détourner des mises à jour logicielles et installer ses outils d’espionnage, dont SlowStepper.

Tunisie Telecom accélère l’IA souveraine : Data Centers certifiés et câble Medusa à 22 Tbps

challenges challenges -
Avec ses data centers certifiés, ses 3,5 MWc d’énergie solaire et le câble Medusa de 22 Tbps, Tunisie Telecom s’impose comme un acteur central d’une IA souveraine, durable et compétitive en Méditerranée.

ESET Research : la Corée du Nord cible les technologies UAV européennes

challenges challenges -
Le groupe Lazarus cible des fabricants européens de drones via une nouvelle campagne DreamJob. ESET Research dévoile des attaques sophistiquées reposant sur de fausses offres d’emploi et le déploiement du RAT ScoringMathTea.

Samsung Vision AI Companion : l’AI conversationnelle qui transforme le téléviseur en hub intelligent du foyer

challenges challenges -
Samsung Vision AI Companion introduit une nouvelle génération d’AI conversationnelle, capable de dialoguer, traduire, recommander et interagir avec les contenus en temps réel directement sur le téléviseur.

Samsung récompensée aux CES Innovation Awards 2026 pour ses technologies transformatrices par la Consumer Technology Association

challenges challenges -
La CTA récompense Samsung pour ses technologies avancées en AI, XR, semi-conducteurs, mobilité connectée et électronique grand public, renforçant son influence stratégique dans l’économie mondiale de l’innovation.

Tunisie Telecom célèbre l’atterrissement du câble sous-marin Medusa à Bizerte

challenges challenges -
Le câble sous-marin Medusa relie Bizerte à Marseille sur 1 000 km, offrant 22 Tbps de capacité. Un projet clé pour la souveraineté numérique, la performance réseau et la transformation digitale de la Tunisie.

ESET, un partenaire de confiance pour la cybersécurité des entreprises

Amjed KHELIFI Amjed KHELIFI -
Avec ESET, MS Solutions Group bénéficie d’une protection multicouche performante, d’une console de gestion intuitive et d’un accompagnement de proximité. Un partenariat fondé sur la fiabilité, l’innovation et la performance continue.

À propos

Challenges.tn

DERNIÈRES NEWS

Pourquoi l’action Tuninvest SICAR grimpe : la société apporte des précisions au CMF

Economie
Tuninvest SICAR détaille les raisons de la hausse de son action, soulignant le rôle des dividendes de Nouvelair et la progression de ses revenus au 30 septembre 2025.
00:02:01

Galaxy Z TriFold : Samsung redéfinit le smartphone pliable avec un format triple-pli et un écran 10’’

HIGH-TECH
Le Galaxy Z TriFold inaugure une nouvelle génération de smartphones pliables. Son écran 10’’ doublement déployable, sa charnière Armor FlexHinge, sa batterie 5 600 mAh et ses fonctions Galaxy AI en font l’appareil le plus polyvalent jamais conçu par Samsung.

Pourquoi la BCE a-t-elle rejeté le prêt de 140 milliards d’euros à l’Ukraine garanti par les avoirs russes ?

Zone Euro
La BCE rejette le mécanisme de garantie d'un prêt de 140 milliards d'euros à l'Ukraine financé par les avoirs russes gelés, invoquant une violation du droit des traités de l'UE sur le financement monétaire. La banque centrale craint d'agir comme prêteur en dernier ressort pour Euroclear, ce qui équivaudrait à un financement direct des obligations gouvernementales. La Belgique et Euroclear s'opposent également au plan, soulevant des préoccupations juridiques et de liquidité. Des solutions alternatives sont étudiées avant la réunion cruciale du 18 décembre.

S'abonner

© 2025 - AAKOM.DIGITAL. All Rights Reserved