Le groupe de pirates informatiques lié à l’Iran, MuddyWater (également connu sous les noms Seedworm ou Static Kitten), mène une vaste opération d’espionnage numérique. Cette campagne vise au moins neuf organisations importantes dans divers secteurs et pays.
Les victimes incluent un fabricant majeur d’électronique en Corée du Sud, des agences gouvernementales, un aéroport international au Moyen-Orient, des industriels en Asie et des établissements d’enseignement.
Les experts de Symantec précisent que les assaillants ont pénétré le réseau d’un grand fabricant sud-coréen d’électronique pendant une semaine en février 2026.
L’équipe Threat Hunter de Symantec juge que les pirates poursuivent des objectifs d’intelligence. Ils volent des biens industriels et intellectuels, mènent un espionnage gouvernemental et accèdent aux clients en aval ou aux réseaux d’entreprises.
Abus de Fortemedia et SentinelOne
Les attaquants exploitent massivement le DLL sideloading. Cette méthode force un logiciel légitime et signé à charger des bibliothèques malveillantes.
Deux exécutables légitimes servent de vecteur : fmapp.exe, un utilitaire audio de Fortemedia, et sentinelmemoryscanner.exe, un composant de SentinelOne.
Les DLL malveillantes, fmapp.dll et sentinelagentcore.dll, intègrent ChromElevator. Cet outil dérobe les données des navigateurs basés sur Chrome.
Symantec observe que PowerShell, employé dans les attaques passées de Seedworm, joue encore un rôle clé. Les charges utiles passent par des chargeurs Node.js au lieu d’un contrôle direct.
PowerShell capture des captures d’écran, mène des repérages, récupère des charges supplémentaires, assure la persistance, dérobe des identifiants et crée des tunnels SOCKS5.
Attaque sur l’entreprise coréenne
Symantec rapporte que l’offensive contre le fabricant sud-coréen s’étend du 20 au 27 février. Les chercheurs taisent le nom de la cible.
Seedworm débute par une reconnaissance des hôtes et domaines. Puis les pirates énumèrent les antivirus via WMI, saisissent des captures d’écran et téléchargent d’autres malwares.
Le vol d’identifiants repose sur de faux invites Windows, le pillage des ruches de registre (SAM/SECURITY/SYSTEM) et des outils d’abus de tickets Kerberos.
Les assaillants modifient le registre pour la persistance. Les balises émettent un signal toutes les 90 secondes. Les binaires sideloadés se relancent sans cesse pour conserver l’accès.
Les chercheurs notent une cadence typique d’implants automatisés, sans présence continue des opérateurs.
Les pirates exfiltrent les données via sendit.sh, un service public de partage de fichiers. Cette ruse masque l’activité malveillante sous un trafic banal.
Symantec souligne l’expansion géographique des assaillants, leur maturité opérationnelle et leur recours à des outils légitimes. Ces choix favorisent des attaques plus discrètes.