<p><img src="https://www.bleepstatic.com/content/hl-images/2026/04/07/Iranian-hackers.jpg" alt="Des hackers iraniens ont ciblé un important fabricant d'électronique sud-coréen"></p> <p><strong>MuddyWater</strong>, un groupe APT ayant des liens avec l'Iran, est activement engagé dans une large campagne de cyber-espionnage ciblant un large éventail d'organisations à l'échelle mondiale. Parmi les victimes figurent un important fabricant d'électronique sud-coréen, des agences gouvernementales, un aéroport international au Moyen-Orient, des fabricants industriels en Asie et des établissements d'enseignement.</p> <p>Les chercheurs de <strong>Symantec</strong> rapportent que l'acteur de la menace a maintenu un accès au réseau d'un important fabricant d'électronique sud-coréen pendant environ une semaine en février 2026. Les objectifs du groupe semblent être basés sur le renseignement, se concentrant sur le vol de propriété industrielle et intellectuelle, l'espionnage gouvernemental et l'obtention d'un accès aux clients en aval ou aux réseaux d'entreprise.</p> <h3>Abus de Fortemedia et SentinelOne</h3> <p>La campagne de Seedworm repose fortement sur le chargement latéral de DLL, une technique où des logiciels légitimes et signés sont manipulés pour charger des DLL malveillantes. Cela permet aux attaquants de contourner les mesures de sécurité et d'exécuter du code dans un processus de confiance.</p> <p>Deux binaires légitimes abusés dans cette campagne sont 'fmapp.exe', un utilitaire audio légitime de <strong>Fortemedia</strong>, et 'sentinelmemoryscanner.exe', un composant de <strong>SentinelOne</strong>. Les DLL malveillantes (fmapp.dll et sentinelagentcore.dll) contenaient <strong>ChromElevator</strong>, un outil post-exploitation facilement disponible conçu pour voler les données stockées dans les navigateurs basés sur Chrome.</p> <p><strong>Symantec</strong> a également observé l'utilisation continue de PowerShell, conformément aux attaques précédentes de Seedworm. Cependant, dans ces incidents récents, les payloads PowerShell sont contrôlés par des chargeurs Node.js plutôt que par une exécution directe. PowerShell est utilisé pour diverses activités malveillantes, notamment la capture d'écran, la reconnaissance, la récupération de payloads supplémentaires, l'établissement de la persistance, le vol d'identifiants et la création de tunnels SOCKS5.</p> <h3>Attaque contre une entreprise coréenne</h3> <p>Selon l'analyse de <strong>Symantec</strong>, l'attaque contre le fabricant d'électronique sud-coréen s'est déroulée du 20 au 27 février. Le nom de l'organisation ciblée n'a pas été divulgué.</p> <p>Les premières étapes de l'attaque comprenaient la reconnaissance de l'hôte et du domaine, suivies de l'énumération antivirus via WMI, de la capture d'écran et du déploiement de logiciels malveillants supplémentaires. Le vol d'identifiants a été réalisé par le biais de fausses invites Windows, du vol de ruches de registre (SAM/SECURITY/SYSTEM) et de l'utilisation d'outils d'abus de tickets Kerberos.</p> <p>La persistance a été établie par des modifications du registre, avec un beaconing se produisant à intervalles de 90 secondes. Les binaires chargés latéralement ont été relancés à plusieurs reprises pour maintenir un accès persistant.</p> <p>"La cadence est à nouveau cohérente avec une activité dirigée par un implant plutôt qu'une présence continue de l'opérateur", ont noté les chercheurs.</p> <p>Les attaquants ont utilisé sendit.sh, un service public de partage de fichiers, pour l'exfiltration de données, probablement pour masquer les activités malveillantes et les mélanger au trafic réseau normal.</p> <p>Dans l'ensemble, <strong>Symantec</strong> souligne que la dernière campagne de Seedworm est remarquable pour son expansion géographique, sa maturité opérationnelle et l'abus d'outils et de services légitimes, indiquant un passage à des méthodes d'attaque plus furtives et plus sophistiquées.</p> <p><img src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg" alt="article image"></p> <h2>99% de ce que Mythos a trouvé n'est toujours pas corrigé.</h2> <p>L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du renderer et du système d'exploitation. Une vague de nouveaux exploits arrive.</p> <p>Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de remédiation.</p> <p><a href="https://hubs.li/Q04crVgD0">Réclamez votre place</a></p>