Moyen-Orient : la guerre comme accélérateur de menaces étatiques

L’opérationnel sous tension

La réalité de l’attaque contre Stryker a rompu le voile de la communication institutionnelle. Bien que l’entreprise ait initialement déclaré ne « voir aucun signe de rançongiciel ou de logiciel malveillant » et affirmé que l’incident était « maîtrisé », la réalité opérationnelle décrite par les employés indique un désastre.

Des rapports mentionnent que les ordinateurs et téléphones ont été « complètement effacés » en exploitant… le système d’administration des terminaux mobiles (MDM) Intune.

Le groupe Handala a revendiqué l’attaque en affichant son logo sur les pages de connexion et en informant les dirigeants, affirmant avoir « effacé plus de 200 000 systèmes, serveurs et appareils mobiles » tout en volant 50 téraoctets de données.

Ce scénario expose la vulnérabilité critique des architectures globalisées, mais à l’administration centralisée.

L’effet de contagion et l’opportunisme

Les autorités polonaises disent de leur côté avoir détecté et bloqué une cyberattaque visant leur centre de recherche nucléaire, après avoir identifié des indices suggérant une implication de l’Iran. Elles relèvent toutefois que ces marqueurs techniques peuvent être une diversion destinée à dissimuler la véritable provenance des attaquants.

Mais au-delà des acteurs directs, la géopolitique sert d’appât pour des acteurs étatiques tiers. Les analystes de Proofpoint ont observé que des groupes soutenus par la Chine, le Bélarus et le Pakistan exploitent le conflit pour lancer leurs propres campagnes d’espionnage et de hameçonnage. « Ces campagnes ont été menées par des groupes connus et des acteurs non observés auparavant », indiquent-ils, soulignant que l’activité « reflète un mélange d’acteurs opportunistes utilisant le conflit pour créer des appâts dans leurs options habituelles ».

Les émotions liées à l’actualité, comme les frappes aériennes ou la mort d’un dirigeant, servent d’appâts puissants pour contourner la vigilance. Une entreprise non liée au conflit devient ainsi une cible, en raison de sa position dans l’écosystème de communication international.

Les vecteurs incluent l’usage de faux documents sur les frappes en Iran, de fausses déclarations sur la mort de l’ayatollah Khamenei et des campagnes ciblant les gouvernements européens sous couvert de position diplomatique. Par exemple, l’acteur bélarusse Winter Vivern a simulé un porte-parole du Conseil de l’Europe, tandis que l’acteur chinois UNK_InnerAmbush a utilisé la mort d’un dirigeant religieux pour distribuer de faux documents.

Contournement et persistance silencieuse

Les tactiques, techniques et procédures (TTP) ont évolué pour contourner les défenses actuelles et faciliter l’espionnage ou préparer des opérations futures. Les liens (fichiers .LNK) déguisés en images de frappes ou PDF falsifiés dans des archives chiffrées constituent un vecteur de prédilection. Si ouverts, ces fichiers exécutent des charges utiles.

Réactivation de la menace iranienne

La menace iranienne s’est transformée d’un activisme hacktiviste à une posture d’espionnage de haute précision et de sabotage. Des groupes comme Seedworm (MuddyWater) et Charming Kitten ont repris leurs activités, ciblant les aéroports, les banques et les infrastructures critiques. Une innovation majeure est l’utilisation de l’outil Dindoor, une backdoor utilisant Deno, un runtime JavaScript open source, pour exécuter des opérations. Bien que le mouvement initial ait commencé avant le conflit actuel, « cela place le groupe dans une position potentiellement dangereuse pour pouvoir lancer de nouvelles attaques », selon Brigid O’Gorman de Symantec.

La convergence entre cyber et actions physiques est une préoccupation majeure. L’Iran exploite des vulnérabilités de caméras IP pour planifier des frappes, montrant comment la guerre cyber et cinétique deviennent une seule et même chose.