Des pirates parrainés par l'État iranien déploient le ransomware **Chaos** comme couverture pour des opérations présumées d'espionnage et de vol de données, selon de nouvelles recherches. ### Les tactiques de diversion de MuddyWater Les intervenants en cas d'incident de la société de cybersécurité **Rapid7** ont publié un rapport sur une intrusion récente qui semblait initialement être une attaque par ransomware **Chaos**, mais qui a ensuite été découverte comme étant une attaque attribuée à **MuddyWater**, un groupe APT iranien lié au ministère iranien du renseignement et de la sécurité (**MOIS**). Alexandra Blia et Ivan Feigl de **Rapid7** ont déclaré que l'utilisation du ransomware **Chaos** « reflète un effort constant pour masquer l'intention opérationnelle et compliquer l'attribution ». « Bien que l'évasion d'attribution soit une caractéristique commune des acteurs affiliés à l'État, l'augmentation rapportée de l'activité opérationnelle de **MuddyWater** depuis début 2026, impliquant principalement l'espionnage cybernétique et un potentiel pré-positionnement pour des opérations perturbatrices sur les réseaux occidentaux et du Moyen-Orient, a probablement intensifié sa dépendance aux opérations de faux pavillon trompeuses », ont-ils ajouté. ### Origines du ransomware Chaos L'opération de ransomware **Chaos** existe depuis février 2025 et les experts en cybersécurité pensent qu'elle a été créée par d'anciens membres des groupes de ransomware désormais disparus **BlackSuit** et **Royal**. ### Accès initial et exfiltration de données **Rapid7** a fourni peu d'informations sur la victime au centre de l'incident, écrivant seulement que les pirates avaient utilisé une campagne d'ingénierie sociale exploitant **Microsoft Teams** pour obtenir un accès initial. Les pirates ont contacté les employés par des demandes de chat externes et ont initié des conversations en tête-à-tête avec les utilisateurs. Ils ont finalement établi une session de partage d'écran avec la victime où le pirate a accédé à des fichiers liés à la configuration VPN et a demandé aux victimes de saisir leurs identifiants. Les acteurs de la menace ont également déployé un outil de gestion à distance pour permettre un accès plus approfondi au système de la victime. Après une période indéterminée, les pirates ont envoyé plusieurs e-mails aux employés de l'entreprise menaçant de divulguer les données volées si une rançon n'était pas payée. Le processus d'extorsion était maladroit, mais les pirates ont ensuite publié des données volées que l'entreprise a confirmées comme étant légitimes, selon les chercheurs. **Rapid7** a noté que l'absence de chiffrement de fichiers était une autre incohérence dans l'incident qui les a amenés à s'interroger sur le véritable coupable derrière l'attaque. ### Attribution au MOIS iranien Les chercheurs ont trouvé des trésors de preuves techniques pointant vers le **MOIS** iranien. Les malwares déployés et les certificats utilisés renvoyaient à la boîte à outils typiquement utilisée par le groupe de pirates **MuddyWater** d'Iran. L'infrastructure utilisée dans l'attaque avait été précédemment liée par des fournisseurs de sécurité à une autre campagne de **MuddyWater** identifiée en mars ciblant des organisations au Moyen-Orient et en Afrique du Nord. Blia et Feigl ont ajouté que l'incident « met en évidence la convergence croissante entre l'activité d'intrusion parrainée par l'État et le savoir-faire des cybercriminels ». L'année dernière, des chercheurs ont lié **MuddyWater** à l'écosystème du ransomware **Qilin** après que cette souche a été utilisée pour attaquer une organisation israélienne. L'attaque a finalement été attribuée directement au **MOIS** iranien, conduisant potentiellement les pirates à adopter la marque de ransomware **Chaos** pour « réduire le risque d'attribution et maintenir un certain degré de déni plausible », a déclaré **Rapid7**. ### Floutage des lignes : Acteurs étatiques et ransomware Plusieurs groupes étatiques de Chine, de Russie, de Corée du Nord et d'Iran ont été vus adoptant le cadre du ransomware-as-a-service, soit comme couverture pour des attaques d'espionnage, soit comme moyen de perturber les adversaires. Blia et Feigl ont déclaré que le ransomware permet aux acteurs étatiques de brouiller les motivations, compliquant l'attribution par les forces de l'ordre occidentales et les défenseurs cybernétiques. Des chercheurs ont averti en février que des pirates nord-coréens utilisaient le ransomware **Medusa** dans des attaques. Dans plusieurs autres cas, le ransomware a été utilisé comme couverture pour des activités d'espionnage chinoises. Les forces de l'ordre ont également constaté des cas où des pirates gouvernementaux iraniens utilisaient leur accès officiel pour lancer plus tard des attaques à motivation financière dans le cadre d'un effort pour « doubler la mise » et travailler en tant que cybercriminels, monétisant leurs compétences en piratage. Le **FBI** a précédemment déclaré avoir été témoin d'acteurs iraniens s'associant à des affiliés des opérations de ransomware **NoEscape**, **Ransomhouse** et **AlphV** — prenant finalement un pourcentage des paiements de rançon. Au début des hostilités cinétiques entre l'Iran et les États-Unis, il y a eu une vague d'activité cybernétique, y compris des attaques présumées par ransomware et des incidents de destruction de données lancés par des acteurs iraniens. Une organisation de santé américaine a été ciblée fin février avec le ransomware iranien **Pay2Key** et une entreprise proéminente de dispositifs médicaux a été endommagée pendant des semaines suite à une cyberattaque par des pirates iraniens.