En plein cœur de la guerre au Moyen-Orient, des groupes de cyberassaillants proches de l’Iran et des Gardiens de la Révolution restent sous étroite surveillance des renseignements occidentaux et des entreprises de cybersécurité. Habitués aux attaques contre les États-Unis, Israël et les pays du Golfe, ils restent aujourd’hui actifs.
Cela fait maintenant une vingtaine de jours que le Moyen-Orient est plongé dans un conflit majeur. Une guerre où les séries de frappes coordonnées des États‑Unis et d’Israël contre l’Iran s’enchaînent et se multiplient comme jamais auparavant. Certaines de ces attaques ont abouti à l’assassinat du Guide suprême, Ali Khamenei, à Téhéran le 28 février 2026, ainsi qu’à la mort de plusieurs hauts responsables iraniens.
Mais elles ont également déclenché une guerre ouverte qui s’est étendue au‑delà des frontières, avec des ripostes iraniennes par missiles et drones contre Israël et des bases américaines dans la région, et des combats impliquant des acteurs comme le Hezbollah au Liban.
Mais il s’étend également au cyberespace. En effet, quelques heures seulement après le début des hostilités, l’écosystème de cyberattaques iraniennes semble s’être activé en riposte. Plusieurs acteurs liés à l’Iran, ainsi que des groupes d’hacktivistes et de pirates informatiques motivés par des causes politiques ou idéologiques ont revendiqué des opérations numériques ciblant Israël, les États-Unis et les pays du Golfe depuis le lancement des frappes.
Pour Bradley Smith, vice-président et responsable adjoint de la sécurité des systèmes d’information chez BeyondTrust, « le principal risque à court terme pour les fournisseurs de technologies et leurs clients est évalué comme étant de trois ordres » Premièrement, le risque d’attaques DDoS et de défiguration, qui consiste en la surcharge de sites ou services en ligne et la modification de contenus, menées par des hacktivistes, reste très élevé.
Vient ensuite le risque de piraterie ciblée et de vol ou d’effacement de données, c’est-à-dire des actions menées par des acteurs liés, notamment au ministère du Renseignement iranien, contre des organisations liées à la défense israélienne ou américaine. Enfin, l’exploitation de vulnérabilités connues, comme les attaques contre des systèmes exposés tels que les infrastructures industrielles ou les dispositifs d’accès à distance, en utilisant des tactiques et techniques déjà éprouvées par ces acteurs, constitue également une menace très sérieuse aujourd’hui.
Des acteurs cyber liés au renseignement iranien
Aujourd’hui, plusieurs acteurs attirent particulièrement l’attention des analystes en cybersécurité, toujours aux aguets du moindre mouvement ou tentative d’attaque. Parmi les plus redoutables figure Boggy Serpens, également connu sous le nom de MuddyWater. Attribué au ministère iranien du Renseignement et de la Sécurité, ce groupe cible régulièrement les secteurs diplomatiques et les infrastructures critiques, notamment l’énergie, le maritime et la finance au Moyen-Orient, ainsi que d’autres cibles stratégiques dans le monde.
Selon un récent rapport de l’Unit 42, une société américaine spécialisée dans les services de sécurité pour les réseaux et les ordinateurs, qui suit de très près ce groupe, Boggy Serpens, se montre particulièrement adaptable. Le groupe a affiné sa stratégie pour se concentrer sur la compromission de relations de confiance et sur des campagnes multi-vagues visant des organisations stratégiques clés, rendant ses opérations à la fois persistantes et difficiles à détecter.
Le groupe privilégie l’utilisation de comptes détournés (comptes légitimes piratés) pour infiltrer des victimes de haut niveau et contourner les protections basées sur la réputation. Les attaques sont menées en plusieurs vagues successives, comme l’illustrent quatre campagnes contre une entreprise nationale des Émirats arabes unis dans le secteur maritime et énergétique entre août 2025 et février 2026.
Pour maintenir l’accès, Boggy Serpens utilise des outils générés par IA et codés en Rust (un langage de programmation sécurisé et performant, NDLR), ainsi que divers portes dérobées permettant de gérer à distance les systèmes infectés.
Deux autres groupes complètent le panorama des cyberacteurs iraniens: « CyberAv3ngers », rattaché au Commandement cyberélectronique du Corps des Gardiens de la Révolution islamique, et l’équipe de hackers « Handala », considérée par plusieurs gouvernements et fournisseurs de cybersécurité comme opérant sous l’égide de Void Manticore, un acteur lié au ministère iranien du Renseignement. CyberAv3ngers est identifié par BeyondTrust comme « l’acteur cybernétique étatique prioritaire » dans ce contexte de menaces.
Le groupe a déjà ciblé des stations d’épuration, des systèmes de gestion du carburant et des automates programmables aux États-Unis et en Israël, en exploitant des identifiants par défaut et en déployant des logiciels malveillants personnalisés. Leur principal outil, « IOCONTROL », vise notamment les routeurs, automates programmables, interfaces homme-machine, pare-feu et systèmes de gestion de carburant. Leurs tactiques consistent à exploiter des appareils connectés à Internet avec des identifiants faibles ou par défaut, ainsi que des accès à distance et privilèges dans les environnements industriels, représentant des points d’entrée majeurs dans les infrastructures critiques.
États-Unis, Israel et États du Golfe ciblés
De son côté, l’équipe de hackers Handala est identifiée comme opérant sous l’ombre de « Void Manticore », un acteur lié au ministère iranien du Renseignement, ce qui la distingue de CyberAv3ngers, rattaché au Corps des Gardiens de la Révolution islamique. Handala est reconnue pour ses vols de données et attaques par effacement. L’Unit 42 le considère comme le groupe de « hacktivistes » iraniens le plus actif dans le conflit actuel. Le groupe privilégie des attaques opportunistes sur des systèmes peu sécurisés, souvent via la chaîne d’approvisionnement de fournisseurs de services informatiques, exfiltrant les données pour maximiser leur impact psychologique.
Un événement récent pourrait cependant perturber ses opérations: le 2 mars dernier, des frappes israéliennes auraient éliminé Seyed Yahya Hosseini Panjaki, ministre adjoint du renseignement et chef présumé de Handala. Si cette information est confirmés, cela pourrait affecter temporairement les campagnes de piratage et de fuite de données. Les organisations israéliennes ou américaines liées à la défense, ou leurs fournisseurs, restent toutefois des cibles à haut risque.
Pour les analystes de BeyondTrust, il est recommandé de surveiller les transferts de données sortants, de valider les accès des comptes fournisseurs et de rester vigilants face aux tentatives d’hameçonnage ciblées utilisant des plateformes comme Google Meet, Microsoft Teams ou WhatsApp. Et même si aucune attaque d’ampleur majeure n’a pour le moment été signalisée, il faut rester vigilant. « Les organisations ne doivent pas négliger cette activité: pour les fournisseurs de solutions de sécurité, même une brève interruption des services web exposés sur Internet engendre un risque d’atteinte à leur réputation disproportionné par rapport à la gravité technique de l’attaque elle-même « , expliquent-ils.
Une stratégie en crescendo?
Selon un autre rapport d’analyse de l’Unit 42, que BFM Tech a pu consulté, les récentes cyberattaques attribuées à des acteurs iraniens dépassent le simple sabotage réseau. Ces opérations s’inscrivent dans une stratégie de représailles asymétriques, où le cyberespace devient un levier pour équilibrer les rapports de force. Pour le Corps des Gardiens de la Révolution et le ministère du Renseignement iranien, ces attaques permettent des frappes à faible coût et fort impact, sans franchir de frontières physiques, combinant malwares traditionnels et nouvelles formes d’abus d’identité.
Depuis 2023, la tactique a également évolué: plutôt que de créer des malwares sur mesure, les groupes exploitent des outils administratifs légitimes pour effacer ou compromettre des appareils, ciblant des centaines de milliers de systèmes. Les plateformes de gestion d’entreprise sont ainsi perçues comme des vecteurs d’attaque puissants, capables de contourner les protections classiques et de multiplier l’impact stratégique des opérations iraniennes.
Le 11 mars dernier, le groupe Handala a notamment revendiqué une cyberattaque contre le géant médical américain Stryker, perturbant des systèmes dans 79 pays et compromettant plus de 200.000 appareils ainsi que 50 téraoctets de données. Même si l’ampleur exacte des dégâts n’est pas encore connue et que les autorités américaines poursuivent leur enquête, cette attaque pourrait marquer le début d’une longue série. Encore sous le choc des premières frappes ayant décapité les cadres du régime, et sans doute plongés dans le brouillard de guerre, les groupes cyber iraniens pourraient continuer à faire parler d’eux… dans les semaines à venir.
Source: BFM
