![[MOA] MuddyWater : une goutte d’eau au coeur de la stratégie de guerre douce de Téhéran](https://incyber.org//wp-content/uploads/2025/07/incyber-news-abstract-data-8-2160x735.jpg)
MOA MuddyWater : une goutte d’eau au coeur de la stratégie de guerre douce de Téhéran
Tout a commencé par un simple mail piégé, comme pour beaucoup de cyberattaques. Le 22 octobre dernier, les experts de Group-IB ont dévoilé une nouvelle campagne sophistiquée et massive, attribuée à MuddyWater, un MOA iranien. Cette opération, qui aurait débuté en août, a visé pas moins d’une centaine d’organisations gouvernementales au Moyen-Orient et en Afrique du Nord, ainsi que des entités spécialisées dans l’humanitaire et la coopération internationale.
Les hackers ont exploité une faille de NordVPN et envoyé des e-mails avec des pièces jointes Word malveillantes. Ouvrir ces fichiers demandait d’activer le contenu, ce qui déclenchait l’installation automatique du logiciel malveillant Phoenix via des macros. Cette porte dérobée a la capacité d’exfiltrer des informations système cruciales, notamment le nom du poste de travail, les versions du système d’exploitation Windows et les identifiants des utilisateurs. Cela confère aux attaquants un accès durable et persistant à la machine, spécifiquement pour des activités d’espionnage.
Les recherches indiquent que MuddyWater a fait preuve d’une connaissance approfondie de ses cibles, comme en témoigne l’utilisation combinée d’adresses électroniques officielles (gouvernementales) et privées (issues de services comme Yahoo ou Gmail). De plus, le ciblage d’entités mondiales impliquées dans l’aide humanitaire et la coopération internationale souligne les objectifs géopolitiques plus vastes attribués à ce groupe.
Un acteur de premier plan du cyberespionnage iranien
Actif depuis 2017, MuddyWater est aussi connu sous les noms de Seedworm, Static Kitten, TA450, Boggy Serpens et Earth Vetala. Sa motivation principale est le cyberespionnage, avec des actions avérées de collecte de renseignements politiques, économiques et militaires pour soutenir les objectifs nationaux iraniens. Le CISA, le NCSC-UK et le commandement cyber israélien l’attribuent publiquement au MOIS (Ministère du renseignement et de la sécurité iranien). En tant qu’élément subordonné de cette institution, MuddyWater a pu faciliter la surveillance de dissidents politiques ou de figures d’intérêts par le régime iranien, étant donné que cela est un objectif principal pour le MOIS. Les actions du groupe ont aussi pu viser à créer des points d’accès persistants dans des infrastructures stratégiques, en vue de futurs sabotages ou perturbations.
Le groupe a différentes cibles. En ce qui concerne le secteur public, il s’attaque principalement à des entités gouvernementales du Moyen-Orient (avec une prédominance pour Israël, l’Arabie Saoudite, les Emirats Arabes Unis, l’Irak et la Turquie), d’Europe de l’Est, d’Amérique du Nord et d’Asie Centrale. Pour le secteur privé, il se concentre sur des cibles principalement régionales, mais peut également plus internationales si elles ont des liens avec des rivaux de l’Iran. Par le passé, les attaques ont concerné des organisations des télécommunications, de la finance, énergie (pétrole & gaz principalement), de la construction, et la technologie. Cette étendue de cibles souligne la portée stratégique du mandat de MuddyWater, une mission qu’ils exécutent en s’appuyant sur un ensemble de techniques opérationnelles qui privilégient la furtivité et l’intégration aux systèmes cibles.
Des outils simples mais une sophistication croissante
La marque de fabrique de MuddyWater est son utilisation tactique d’outils disponibles sur les systèmes cibles, une technique appelée “Living Off the Land Binaries” (LOLBins). Cette approche permet au groupe de menace persistante avancée (APT) d’opérer avec une furtivité accrue et de contourner efficacement les défenses des systèmes compromis. Au lieu de déployer des logiciels malveillants personnalisés qui pourraient être détectés par signature, MuddyWater abuse de binaires, de scripts ou de librairies légitimes et natifs du système d’exploitation. Ces outils sont considérés comme fiables par défaut, ce qui leur permet de noyer leurs activités malveillantes dans le bruit normal des opérations du réseau.
MuddyWater excelle notamment dans l’abus de PowerShell, utilisant ce shell de commande pour exécuter des commandes à distance et déployer des charges utiles directement en mémoire, évitant ainsi d’écrire des fichiers malveillants sur le disque et rendant la détection traditionnelle extrêmement difficile. De plus, ils ont perfectionné l’utilisation détournée de logiciels d’administration et de gestion à distance (RMM) légitimes, tels que ConnectWise Control. En exploitant ces canaux de communication chiffrés et déjà approuvés par l’organisation victime, ils établissent un accès persistant et procèdent à l’exfiltration de données, transformant les outils de l’administrateur système en armes d’espionnage avancées. En exploitant ces mécanismes, MuddyWater minimise son empreinte et maximise ses chances de persistance à long terme sur les réseaux de ses cibles.
Son activité est constante et a démontré une montée en compétence et en sophistication au fil des ans, tout en maintenant une préférence pour des outils dits « simples ». Cette dualité tactique est la clé de leur succès. Leur sophistication se manifeste par l’évolution rapide de leurs chaînes d’attaque et le développement de logiciels espions dédiés comme DCHSpy Ceux-ciciblent spécifiquement les plateformes mobiles, ou l’utilisation de techniques avancées d’évasion. Ils ont constamment mis à jour leurs méthodes d’infection initiale, passant de macros simples à des méthodes d’injection en mémoire plus complexes, démontrant une capacité d’adaptation aux nouvelles défenses de sécurité.
Douce guerre
Depuis Stuxnet en 2010, l’Iran a musclé ses capacités cyber : MuddyWater n’est pas le seul acteur de la menace (ou APT) à être relié au gouvernement iranien. Les actions menées par ces derniers constituent un outil de politique étrangère et contribuent à la défense, voire à l’influence de Téhéran, dans le cadre de sa doctrine de la “guerre douce” (“jang-e narm” en farsi).
Cette doctrine de la “guerre douce”, établie par l’ayatollah Ali Khamenei, est un concept stratégique iranien qui va bien au-delà des affrontements militaires conventionnels. Celle-ci présuppose que les adversaires de l’Iran (principalement les États-Unis, Israël et leurs alliés régionaux) mènent une guerre non-militaire visant à éroder la confiance, la culture, l’idéologie et la volonté politique du peuple iranien. Pour riposter, l’Iran a développé ses propres outils, dont certains utilisent le cyberespace.
Dans le cadre de cette doctrine, l’activité des groupes APT iraniens ne se limitepas à de l’espionnage classique et on observe une répartition (voire une spécialisation) des tâches. MuddyWater, par exemple, se concentre sur la collecte massive de renseignements concernant les gouvernements et les infrastructures critiques, jouant un véritable rôle dans la prise de décision de Téhéran. Probablement placé sous la tutelle du CGRI (Corps des Gardiens de la Révolution), Charming Kitten (connu aussi sous le nom d’APT35 ou de Phosphorus) recueille des informations sur les dissidents politiques ou sur des personnes d’intérêts (journalistes, activistes, universitaires, etc.). Le groupe Elfin, lui, est spécialisé dans les actions de sabotage, en utilisant des wipers contre des secteurs d’activité très stratégiques, tels que l’aviation, l’énergie ou la défense. La coordination entre ces différents APT et d’autres a pu être observée un peu plus tôt cette année, dans le cadre d’une hausse de l’activité iranienne en riposte aux attaques d’Israël au sein de sa guerre contre le Hamas.