**MuddyWater** APT (également connu sous le nom de Seedworm) a été identifié comme l'acteur derrière une campagne récente affectant des organisations sur quatre continents au premier trimestre 2026. Les attaques, qui ont ciblé un large éventail d'industries, démontrent les tactiques évolutives et la sophistication croissante du groupe. ### Secteurs Ciblés La campagne a ciblé la fabrication industrielle et électronique, les établissements d'enseignement et les organismes du secteur public, les services financiers et les services professionnels. Notamment, un important fabricant d'électronique sud-coréen a été compromis, les attaquants maintenant un accès à son réseau pendant une semaine en février 2026. Parmi les autres victimes figuraient un aéroport international au Moyen-Orient, des fabricants industriels d'Asie du Sud-Est et un fournisseur de services financiers d'Amérique latine. ### Chargement Latéral de DLL pour la Discrétion Les attaquants se sont fortement appuyés sur des techniques de chargement latéral de DLL pour exécuter du code malveillant tout en se faisant passer pour des logiciels légitimes. Des binaires signés de **Fortemedia** (fmapp.exe) et **SentinelOne** (sentinelmemoryscanner.exe) ont été abusés pour charger des DLL malveillantes. Selon les équipes de cybersécurité de **Broadcom**, l'utilisation de "sentinelmemoryscanner.exe" est un choix délibéré pour contourner la détection basée sur les signatures. Auparavant, **Group-IB** avait documenté l'utilisation de "fmapp.exe" pour charger latéralement "fmapp.dll" en relation avec la campagne **Operation Olalampo** de **MuddyWater**. **Huntress** a rapporté que cette DLL contient du code pour se connecter à une adresse IP contrôlée par l'attaquant. ### ChromElevator : Vol de Données de Navigateur Les deux DLL embarquaient un outil open-source appelé **ChromElevator**, conçu pour voler les mots de passe, les cookies et les données de cartes de paiement des navigateurs basés sur Chromium. Cette technique permet aux attaquants de contourner les protections App-Bound Encryption (ABE) dans les navigateurs comme **Google Chrome**. ### Node.js et PowerShell pour la Reconnaissance Un aspect notable des attaques est l'utilisation de scripts Node.js pour lancer du code PowerShell responsable des opérations de découverte et de collecte d'informations. Les données volées étaient stockées sur sendit[.]sh, un service public de transfert de fichiers. Les chercheurs de **Symantec** et **Carbon Black** ont observé qu'une chaîne d'implants basée sur node.exe était utilisée pour déposer des scripts PowerShell qui effectuaient de la reconnaissance, captura d'écran, vol de la ruche SAM, élévation de privilèges et tunneling de proxy inverse SOCKS5. ### Mouvement Latéral et Persistance Les attaques impliquaient également le vidage d'identifiants pour faciliter le mouvement latéral à travers les réseaux. Dans l'intrusion ciblant le fabricant d'électronique sud-coréen, **MuddyWater** a effectué à plusieurs reprises des reconnaissances basées sur PowerShell et réexécuté les paires de chargement latéral de DLL pour maintenir l'accès. ### Sanctions Iraniennes et Activité Cyber Plus Large Le Conseil européen a récemment imposé des sanctions contre la société iranienne **Emennet Pasargad** pour avoir piraté un service SMS suédois, accédé à une base de données d'abonnés français et diffusé de la désinformation lors des Jeux Olympiques de Paris 2024. **Emennet Pasargad**, également connue sous le nom de Shahid Shushtari et affiliée au Cyber-Electronic Command (IRGC-CEC) des Gardiens de la révolution islamique d'Iran, a été liée à des dommages financiers importants et à des perturbations pour les entreprises et les agences gouvernementales américaines. Des pirates soutenus par l'Iran ont également été liés à une campagne d'exfiltration ciblant des organisations aux États-Unis, en Israël, en Arabie saoudite et en Turquie. Bien que ces incidents aient été revendiqués par une persona pro-iranienne nommée **Ababil of Minab**, l'analyse de **Gambit Security** a lié l'infrastructure de la campagne au ministère iranien du renseignement et de la sécurité (MOIS). ### FileFiend : Outil d'Exfiltration La campagne a utilisé un outil personnalisé en C++ de collecte et d'exfiltration de fichiers, nommé en interne FileFiend. Cet outil pouvait énumérer les disques locaux et les partages SMB, parcourir le système de fichiers et envoyer des fichiers à un serveur C2 codé en dur. Alternativement, les données d'intérêt étaient compressées en archives RAR et téléchargées sur le site Web public de l'organisation, d'où elles étaient extraites à l'aide de l'accélérateur de téléchargement en ligne de commande Axel et tunnellisées via proxychains.