Il y a quelques semaines, les enquêteurs de la sécurité ont réouvert les alarmes pour l'activité d'une vieille connaissance : le groupe iranien connu sous le nom de MuddyWater. Selon l'analyse publiée par l'entreprise Groupe IB, la campagne appelée "Opération Olalampo" a déployé une nouvelle collection d'outils et a renouvelé l'ancienne tactique qui caractérise déjà cet acteur : phishing emails avec des documents Office qui, si la victime permet des macros, déclenchent une chaîne d'infection pour obtenir la télécommande de l'équipe.
L'opération, observée depuis la fin du mois de janvier 2026 et concentrée principalement sur des organisations de la région MENA, combine des rejets de première étape avec des implants plus sophistiqués. Certains noms dans le rapport, tels que GhostFetch et HTTP _ VIP, agissent comme des profils système initiaux et comme des ponts pour fonctionner dans des charges secondaires "mémoriques", tandis que des implants tels que CHAR - écrit dans Rust et contrôlé par un robot Telegram - et GhostBackDoor fournissent des capacités d'accès persistantes et un fonctionnement à distance.
La frappe n'est pas seulement la variété des outils, mais comment ils s'enchaînent.. Dans certains cas, le point d'entrée est un fichier Excel qui demande à autoriser les macros; en les activant, il décode et écrit sur le disque un binaire dans Rust (CHAR). Dans d'autres variantes, la macro livre GhostFetch, qui à son tour télécharge GhostBackDoor directement en mémoire, évitant de laisser des artefacts faciles à détecter. Un autre chemin d'infection utilise moins de leurres techniques - comme les tickets d'avion ou les rapports - pour distribuer HTTP _ VIP, un téléchargement natif qui a également été observé en déployant le logiciel d'accès à distance légitime AnyDesk.
Les téléchargements de cette campagne montrent un niveau de sophistication qui cherche à échapper aux environnements d'analyse automatisés : ils valident les mouvements de souris, la résolution d'écran et cherchent des signes de machines virtuelles, de débogage ou antivirus. Ce type de contrôles n'est pas nouveau, mais ils révèlent l'intention d'éviter les bacs à sable et montrent un travail minutieux au stade initial de l'intrusion..
L'utilisation de Rust pour développer des portes arrière comme CHAR n'est pas anecdotique. Le langage, apprécié pour ses performances et pour la production d'exécutables autonomes, est de plus en plus choisi par les opérateurs malveillants. Group-IB a même détecté des signes inhabituels dans le code qui suggèrent la participation d'outils d'intelligence artificielle dans le processus de développement - par exemple, les chaînes de débogage emojis - quelque chose qui se connecte avec les rapports précédents sur les tests de génération assistée par l'IA dans les projets de logiciels malveillants. Pour comprendre l'image globale du progrès et de l'analyse de ces menaces, il convient d'examiner la documentation et les alertes des équipes dédiées à la cybersécurité, comme le travail de Google dans son Groupe d'analyse des menaces.
En plus des techniques de pêche à la vitesse et d'évasion locale, MuddyWater n'a pas abandonné l'exploitation des vulnérabilités publiques sur les serveurs exposés pour un accès initial. Cette dualité - pour lier à la fois l'utilisateur final par le génie social et l'infrastructure publique sans patching - est celle qui amplifie l'impact potentiel de la campagne et complique le travail de défense.
Quant aux fonctionnalités, l'ensemble d'outils détectés permet à l'adversaire d'obtenir une commande assez complète : exécution à distance, transfert de fichiers, ouverture de shells interactifs, vol de données du navigateur et possibilité d'exécuter des proxys SOCKS5 ou des composants supplémentaires comme d'autres portes arrières. L'utilisation d'infrastructures et de canaux diversifiés comme Telegram pour contrôler les implants démontre la préférence pour des méthodes flexibles et difficiles à bloquer..
Pour les organisations et les gestionnaires, cela pose des défis particuliers. La première ligne de défense reste la sensibilisation des utilisateurs : ne pas permettre des macros dans des documents d'origine inconnue et adopter des politiques qui bloquent les macros de fichiers téléchargés depuis Internet. Microsoft publie des recommandations pratiques sur la manière de réduire le risque associé aux macros dans la documentation technique de l'Office ( Voir le guide Microsoft).
Parallèlement, il est essentiel de renforcer le périmètre technique : stationnement constant des services exposés pour éviter les intrusions par des vulnérabilités connues, surveillance des domaines et du trafic sortant qui pointent vers le contrôle et le contrôle des serveurs, et règles de verrouillage pour les logiciels d'accès à distance non autorisés, comme AnyDesk quand ils ne sont pas gérés par l'équipe informatique. Les outils modernes de détection devraient examiner à la fois le comportement de la mémoire et les signaux d'interaction C2; afin de comprendre les techniques et tactiques communes, il convient de revoir les cadres de référence ou MITRE ATT & CK.
La recherche de groupe-IB offre des indicateurs d'engagement, des techniques et des CTPT que les organisations devraient intégrer dans leurs processus de renseignement et d'intervention. Consulter le rapport original aide à identifier les domaines, les hachages et les modèles qui faciliteront la recherche d'infections et le nettoyage des environnements touchés. Vous pouvez accéder à l'analyse complète dans le rapport Groupe-IB: Opération Olalampo - Groupe-IB.
Enfin, l'affaire met de nouveau en évidence une tendance inquiétante: les groupes parrainés par l'État ou les groupes ayant des capacités avancées non seulement perfectionnent les outils techniques, mais intègrent de nouvelles ressources - parmi lesquelles, aide éventuelle au développement de l'IA- qui accélèrent la création et l'évolution des logiciels malveillants. La réponse exige une combinaison de mesures d'hygiène numérique de base, de contrôles techniques profonds et de coopération internationale en matière d'échange d'informations. Le débat sur la manière de protéger les infrastructures et les organisations essentielles dans les domaines à forte exposition géopolitique demeure urgent et nécessaire.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...