Un groupe de hackers soutenu par l’État iranien a passé plusieurs jours à l’intérieur du réseau d’un important fabricant sud-coréen d’électronique dans le cadre d’une campagne plus large de cyberespionnage visant des organisations de plusieurs pays, selon des chercheurs.
According to Symantec’s Threat Hunter Team , les attaques ont été menées par MuddyWater, également connu sous le nom de Seedworm ou Static Kitten, un groupe de menace lié au ministère iranien du Renseignement et de la Sécurité (MOIS). Les chercheurs affirment que l’opération visait au moins neuf organisations à travers l’Asie, le Moyen-Orient, l’Europe et l’Amérique du Sud.
Les victimes auraient inclus des agences gouvernementales, un aéroport international au Moyen-Orient, des industriels, des entreprises de services financiers, des établissements d’enseignement et une grande entreprise sud-coréenne d’électronique dont l’identité n’a pas été rendue publique.
Symantec affirme que les assaillants sont restés à l’intérieur du réseau du fabricant coréen pendant environ une semaine, entre le 20 et le 27 février 2026. Pendant cette période, les hackers effectuaient des reconnaissances, capturaient des captures d’écran, téléchargeaient d’autres logiciels malveillants, énuméraient des outils antivirus, volaient des identifiants et établissaient la persistance dans l’environnement.
La campagne s’appuyait fortement sur le sideloading des DLL, une technique où des applications signées légitimes sont abusées pour charger du code malveillant. Les chercheurs ont découvert que les attaquants utilisaient des binaires légitimes, notamment l’utilitaire audio fmapp.exe de Fortemedia et le sentinelmemoryscanner.exe de SentinelOne pour exécuter des fichiers DLL malveillants sans déclencher de défenses de sécurité.
Les DLL malveillants contenaient un outil post-exploitation appelé ChromE levator, un malware conçu pour voler des informations sensibles stockées dans des navigateurs basés sur Chromium tels que Google Chrome Microsoft Edge.
Les chercheurs ont également observé une activité étendue de PowerShell pendant les attaques. Les scripts étaient utilisés pour la reconnaissance système, la collecte de captures d’écran, le vol de références, la persistance et la création de tunnels proxy SOCKS5 permettant aux attaquants de router le trafic via des systèmes compromis. Contrairement à certaines campagnes MuddyWater antérieures, les charges utiles PowerShell étaient contrôlées par des chargeurs à base de Node.js.
Symantec estime que la campagne était guidée par le renseignement plutôt que par l’argent du monde. Les chercheurs ont indiqué que les assaillants semblaient se concentrer sur l’espionnage industriel, le vol de propriété intellectuelle et l’accès aux réseaux d’entreprises en aval connectés aux organisations compromises.
Un autre détail notable était l’utilisation par les attaquants de services publics de transfert de fichiers basés sur le cloud pour mélanger activité malveillante et trafic réseau normal. L’exfiltration de données aurait eu lieu via sendit.sh, aidant l’opération à éviter la détection en donnant l’impression d’une utilisation légitime du cloud.
MuddyWater a déjà été lié à des campagnes d’espionnage visant des entreprises de télécommunications, des contractants de la défense, des agences gouvernementales et des opérateurs d’infrastructures au Moyen-Orient et en Asie. Le Cyber Command américain et le FBI ont publiquement attribué plusieurs opérations passées au groupe.