jeudi, juillet 2, 2026
35.5 C
Tunisie

ESET RESEARCH : MuddyWater Déploie MuddyViper et Fooder dans une Campagne Sophistiquée Contre Israël et l’Égypte

ESET Research sonne l'alarme concernant une nouvelle vague d'attaques de cyberespionnage menées par le groupe MuddyWater (alias Mango Sandstorm ou TA450). Alignée sur les intérêts de l’Iran , cette campagne cible des infrastructures critiques en Israël, avec une victime également confirmée en Égypte. L'opération se distingue par l'introduction d'un arsenal inédit, incluant la backdoor furtive MuddyViper et le loader sophistiqué Fooder. ESET livre une analyse technique approfondie de ces nouveaux outils et méthodes, soulignant la montée en puissance et la sophistication accrue des tactiques de ce groupe réputé pour sa persistance.

Nouvelle Génération d’Outils pour une Furtivité Maximale

Cette campagne s’illustre par l’introduction d’un arsenal inédit, conçu pour optimiser la furtivité et la persistance des opérations. L’outil principal est MuddyViper, une backdoor aux capacités étendues :

  • Elle peut collecter des informations système.
  • Elle peut exécuter des commandes.
  • Elle peut transférer des fichiers.
  • Elle peut exfiltrer des identifiants Windows et des données de navigateur.

Pour déployer MuddyViper, le groupe utilise le loader Fooder, dont plusieurs variantes se font passer pour le jeu classique Snake. L’innovation majeure de Fooder est sa capacité à injecter MuddyViper directement en mémoire via chargement réfléchissant (reflective loading) avant son exécution. Cette méthode permet d’éviter l’écriture sur le disque, rendant la détection par les systèmes de sécurité traditionnels plus difficile.

De plus, les développeurs ont intégré une fonction de délai inspirée de la logique du jeu Snake , combinée à des appels API espacés dans le temps. Cette technique a pour objectif de ralentir l’exécution et de déjouer les systèmes d’analyse automatisée. L’arsenal utilise également CNG (l’API cryptographique Windows de nouvelle génération) et inclut la backdoor VAX One, qui se fait passer pour des logiciels légitimes tels que Veeam, AnyDesk, Xerox ou le service OneDrive Update.

Chaîne d’Attaque : Du Spearphishing aux InfoStealers

L’accès initial aux systèmes ciblés repose sur des e-mails de spearphishing contenant des fichiers PDF piégés. Ces documents malveillants redirigent les victimes vers des installateurs de solutions de surveillance et de gestion à distance (RMM) légitimes , hébergés sur des plateformes de partage publiques comme OneHub, Egnyte ou Mega.

Après la compromission, l’arsenal se complète de plusieurs infostealers dédiés:

  • CE-Notes : Voleur d’identifiants ciblant spécifiquement les navigateurs basés sur Chromium.
  • LP-Notes : Utilisé pour la préparation et la validation des identifiants dérobés.
  • Blub : Capable d’exfiltrer les données de connexion des navigateurs Chrome, Edge, Firefox et Opera.

Cette approche tactique vise une meilleure efficacité, les opérateurs évitant les sessions interactives manuelles pour réduire les traces visibles.

L’Évolution de MuddyWater : Un Acteur Persistant et Stratégique

MuddyWater (Mango Sandstorm/TA450) , publiquement attribué pour la première fois en 2017 par Unit 42 , entretient des liens avec le ministère iranien du Renseignement et de la Sécurité nationale. Ses opérations récentes confirment son rôle de groupe centré sur le cyberespionnage.

Le groupe a fait preuve d’une évolution constante de ses outils et de sa posture opérationnelle:

  • Quicksand (2020) : Cette opération d’espionnage contre des entités gouvernementales israéliennes et des opérateurs télécoms a marqué son passage de tactiques basiques à des campagnes multi-étapes.
  • Campagne contre la Turquie : Le groupe a démontré son adaptation aux contextes locaux par l’utilisation de malwares modulaires et d’une infrastructure C&C flexible contre des organisations politiques.
  • Chevauchement Opérationnel (Janvier-Février 2025) : Récemment, ESET a révélé un chevauchement opérationnel avec Lyceum, un sous-groupe d’OilRig. Cette coordination suggère que MuddyWater pourrait jouer un rôle de fournisseur d’accès initial pour d’autres groupes alignés sur l’Iran.

Recommandations ESET pour Contrer les Attaques MuddyWater

Pour se prémunir contre les techniques sophistiquées employées par MuddyWater, notamment le spearphishing et l’injection en mémoire, les experts en cybersécurité recommandent une approche de défense multicouche :

  • Sensibilisation aux Techniques de Spearphishing : Éduquez les utilisateurs à identifier les e-mails de spearphishing , en particulier ceux contenant des pièces jointes de type PDF ou des liens redirigeant vers des plateformes de partage externes (comme OneHub, Egnyte ou Mega). Insistez sur la vérification des expéditeurs et des URLs avant de télécharger ou d’ouvrir des documents.
  • Contrôle Strict des Applications (Whitelisting) : Mettez en œuvre des politiques de whitelisting pour empêcher l’exécution d’applications et de scripts non autorisés. Cela peut aider à bloquer les faux installateurs de RMM légitimes (Atera, Level, PDQ, SimpleHelp) que les attaquants exploitent pour l’accès initial.
  • Protection Avancée des Terminaux (EDR) : Déployez des solutions de détection et de réponse des terminaux (EDR) performantes. Celles-ci sont essentielles pour identifier des comportements malveillants discrets, comme l’exécution d’un chargement réfléchi (reflective loading) en mémoire, qui contourne les systèmes de détection traditionnels basés sur la signature de fichiers.
  • Surveillance des Appels API et de l’Exécution Différée : Les systèmes de sécurité doivent être capables de surveiller les appels API espacés dans le temps et les fonctions de délai utilisées pour contourner l’analyse.
  • Gestion des Identifiants : Utilisez l’authentification multifacteur (MFA) pour tous les services critiques et renforcez les politiques de mots de passe. Cela minimise l’impact des infostealers comme MuddyViper, CE-Notes, LP-Notes et Blub.
  • Mises à Jour Systématiques : Assurez-vous que tous les systèmes d’exploitation, les applications et les solutions de sécurité sont constamment mis à jour pour corriger les vulnérabilités exploitées par le groupe MuddyWater.

Articles Recents

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Topics

ESET Research met à nu SprySOCKS for Windows : pilote noyau, détournement TCP et soupçon de bootkit UEFI

WIN_DRV intègre un pilote noyau capable de masquer ses connexions réseau et de détourner le trafic TCP vers un port caché, rendant sa détection quasi impossible depuis l'espace utilisateur.

Galaxy Ring 2 : Samsung mise sur le logiciel, la batterie silicium-carbone et une possible ouverture à iOS

Entre fusion des données biométriques, batterie silicium-carbone et litige de brevets avec Oura, le Galaxy Ring 2 se dessine comme une mise à jour avant tout logicielle, lancement attendu début 2027.

Pénurie de mémoire IA : Xiaomi, Oppo et Vivo réduisent leurs objectifs smartphones 2026 jusqu’à 30 %

Xiaomi ramène son objectif à 95 millions d'unités (−30 %). IDC anticipe −14 % sur l'ensemble des expéditions mondiales 2026. Samsung, SK Hynix et Micron ont réorienté leurs capacités vers l'IA, comprimant l'offre DRAM grand public jusqu'en 2027 au moins.

ESET Research : rôle technique dans la neutralisation des botnets Amadey et Stealc (MaaS)

Trois ans de suivi continu, des systèmes automatisés d'extraction d'artefacts et un partage structuré d'IoC : la contribution d'ESET au démantèlement d'Amadey et Stealc illustre le rôle pivot du renseignement sur les menaces dans les opérations de takedown coordonnées.

Galaxy Watch 9 et Ultra 2 : ce que les fuites techniques révèlent avant l’Unpacked de juillet

Snapdragon Wear Elite 3 nm, batterie 800 mAh sur l'Ultra 2, design anguleux : voici ce que les fuites révèlent sur les prochaines Galaxy Watch de Samsung.

Design computationnel chez Samsung : IA, jumeaux numériques et robots au service des wearables

Plus de 10 000 simulations IA, des centaines de millions de données anatomiques mondiales : voici comment Samsung a repensé le design des Galaxy Buds4 Series grâce au computational design.

ESET, seul Challenger du Magic Quadrant 2026 de Gartner

ESET est désigné seul Challenger du Magic Quadrant 2026 de Gartner pour la protection des terminaux. Une reconnaissance qui s’appuie sur 16 années de présence dans le rapport et sur la plateforme ESET PROTECT, axée prévention

ESET Research : la Chine espionne le Golfe et l’IA sud-coréenne

ESET Research documente l'expansion des campagnes d'espionnage chinoises vers le Venezuela, la Syrie et le Golfe, avec un ciblage marquant d'une entreprise sud-coréenne spécialisée en IA et robotique, liée à Made in China 2025.

Articles connexes

Catégories populaires