L’évolution de la cybermenace iranienne : des wipers MBR à l’instrumentalisation des identités

Les récentes cyberattaques attribuées à des acteurs de menace iraniens vont au-delà d'une simple perturbation de réseau. Loin de constituer des incidents de sabotage isolés, ce type d'attaque s'inscrit dans un contexte plus large, marqué par le recours de l'Iran à des représailles asymétriques et à sa doctrine historique de guerre par procuration (proxy doctrine). Les acteurs de la menace liés à l'Iran utilisent de plus en plus le cyberespace pour compenser un déséquilibre de forces.

Pour le Corps des Gardiens de la révolution islamique (CGRI) et le Ministère du Renseignement et de la Sécurité (MOIS), les cyber-opérations constituent un mécanisme de représailles à faible coût et à fort impact, affranchi de toute frontière.. Dans cet environnement, les organisations mondiales font face à un risque cyber accru, où le déploiement de malwares traditionnels convergent avec de nouvelles formes d’usurpation d’identité. Le passage de malwares de type wiper personnalisés à l'abus d'outils d'administration natifs supprime un garde-fou de détection essentiel qui protégeait historiquement les réseaux d'entreprise.

Des binaires personnalisés à l’usurpation d’identité

Le virage tactique actuel des cyber-acteurs iraniens s'explique moins par un manque de capacités de développement de malwares que par les avantages stratégiques des techniques de type living-off-the-land (LotL). Les opérations visant à provoquer des perturbations ont évolué depuis 2023 : au lieu de s'appuyer massivement sur des outils sur mesure, les méthodes employées s'inscrivent désormais dans une tendance plus large de changement d'échelle et une plus grande furtivité.

Lors des récents incidents impliquant des wipers, les acteurs de menace opérant sous le pseudonyme Void Manticore (Handala) n'ont pas déployé de wiper inconnus jusqu’alors ni de malwares traditionnels. À la place, les attaquants ont compromis des identités à hauts privilèges pour lancer des commandes de suppression à distance (remote-wipe) sur plus de 200 000 appareils à travers le monde.

Ce passage des binaires personnalisés à l'abus administratif illustre une nouvelle dynamique. Dans ce contexte, les groupes APT iraniens semblent de plus en plus percevoir les outils d'administration d'entreprise non plus seulement comme des infrastructures informatiques, mais comme des actifs pouvant être transformés en armes (weaponizable assets) au sein d'un cadre de perturbation plus vaste. Cette distinction est cruciale pour comprendre comment les acteurs liés à l'état iranien perçoivent les plateformes de gestion des appareils mobiles (MDM - Mobile Device Management) : non pas comme des outils de gestion, mais comme des vecteurs d'attaque à fort impact permettant de contourner la télémétrie traditionnelle des solutions EDR (Endpoint Detection and Response).

Gravir les échelons de l'escalade

Dès 2012 et 2016, les acteurs iraniens lançaient d'importantes opérations de perturbation dans la région. En retraçant l'historique de leurs cyber-représailles contre ce qu'ils perçoivent comme des affronts géopolitiques, nous observons un schéma clair d'escalade des capacités et des intentions au cours de la dernière décennie parmi les groupes liés au CGRI et au MOIS.

Les instruments contondants (2016-2019)

Au cours de cette période, des groupes d'acteurs de menace tels que Curious Serpens (APT33, Elfin) et Evasive Serpens (APT34, OilRig) ont ciblé les infrastructures informatiques avec des wipers (effacement de disque) très visibles.

• Résurgence de Shamoon : Après son apparition initiale en 2012, les versions Shamoon 2 et Shamoon 3 ont été déployées contre des entités du Moyen-Orient. Ces attaques utilisaient le spearphishing (hameçonnage ciblé) pour obtenir un accès initial, avant de s’appuyer sur le pilote Eldos RawDisk pour contourner les API Windows et écraser le Master Boot Record (MBR).
• ZeroCleare et Dustman : Déployés massivement contre les secteurs de l'énergie et de l'industrie, des wipers tels que ZeroCleare et son successeur Dustman reproduisaient la stratégie de Shamoon en détournant des pilotes légitimes pour produire des effets destructeurs.

À cette époque, les acteurs iraniens privilégiaient les représailles visibles à la furtivité. Leurs cyberattaques visaient à projeter leur puissance et à infliger une paralysie opérationnelle maximale.

Camouflage par ransomware : déni plausible et compromission de la chaîne d'approvisionnement (2020-2022)

Face à une surveillance accrue, les cyber-acteurs iraniens ont adapté leur mode opératoire pour introduire une dimension de déni plausible (plausible deniability). L'objectif stratégique est passé d'un sabotage étatique manifeste à une imitation de la cybercriminalité à but lucratif. Ce pivot tactique a été principalement mené par le groupe d'acteurs de menace Agonizing Serpens (Agrius).

• La suite de wipers d'Agonizing Serpens (Apostle et Fantasy) : Plutôt que de s'appuyer sur le spearphishing traditionnel, Agonizing Serpens a fréquemment exploité des vulnérabilités de type "one-day" publiquement disponibles dans des applications web exposées pour déposer des web shells personnalisés. Une fois l'accès initial établi, le groupe déployait des charges utiles (payloads) conçues pour brouiller les pistes entre espionnage et extorsion.
• Évolution d'Apostle : Initialement observé comme un pur wiper déguisé en opération de ransomware, les premières versions d'Apostle n'avaient pas la capacité réelle de déchiffrer les fichiers, indiquant que la destruction des données en était l'intention première. Des variantes ultérieures ont toutefois été corrigées pour intégrer de réelles capacités de chiffrement, compliquant l'attribution et retardant les efforts de réponse aux incidents en forçant les défenseurs à traiter l'événement comme un incident de cybercriminalité classique.
• Exploitation de la chaîne d'approvisionnement : Le déploiement du wiper Fantasy a marqué une escalade significative dans la méthodologie de ciblage d'Agrius. En compromettant un éditeur de logiciels israélien tiers de confiance, les acteurs de la menace ont exécuté une attaque par la chaîne d'approvisionnement (supply chain attack) qui a touché des victimes en aval dans de multiples secteurs d'activité mondiaux.

Se faire passer pour un syndicat de ransomware offrait un avantage stratégique majeur aux cyber-acteurs iraniens en masquant leur affiliation étatique, tout en produisant l'effet escompté de perturbation des affaires et de dommages économiques.

Le hacktivisme de façade : opérations psychologiques et destruction multiplateforme (2023-2025)

Entre 2023 et 2025, le paysage des menaces a de nouveau muté. Le modèle APT traditionnel a laissé place à une multiplication de profils hacktivistes dirigés par l'État. Des groupes tels que Void Manticore et l'équipe Handala Hack ont opéré ouvertement sur des plateformes comme Telegram, utilisant des attaques destructrices comme composante d'opérations psychologiques et d'une guerre de l'information plus vaste.

• Wipers BiBi, Hatef et Hamsa : L'émergence de ces familles de malwares a mis en évidence une évolution technique critique : la capacité multiplateforme. Alors que les premiers wipers étaient strictement centrés sur Windows, les acteurs de la menace ont déployé le wiper Hatef (basé sur .NET) pour les environnements Windows aux côtés des wipers Hamsa et BiBi (basés sur Bash) ciblant les serveurs Linux.
• Destruction au niveau des fichiers : Techniquement, ces variantes se sont éloignées des techniques complexes d'effacement du MBR de l'ère Shamoon au profit d'une destruction rapide et récursive des fichiers, écrasant les données par blocs de 4096 octets de données aléatoires.
• MultiLayer et BFG Agonizer : Parallèlement, des déploiements collaboratifs entre Agonizing Serpens et Boggy Serpens (alias MuddyWater) ont introduit des wipers hautement modulaires comme MultiLayer et BFG Agonizer. Ces opérations ont fréquemment détourné des outils de surveillance et de gestion à distance (RMM - Remote Monitoring and Management) légitimes pour distribuer les payloads à grande échelle.

Au cours de cette période, les wipers ne sont devenus qu'une composante d'un modèle de menace hybride. Les déploiements destructeurs étaient systématiquement associés à une exfiltration agressive de données, créant des opérations simultanées de type "hack-and-leak" (piratage et fuite).

L'ère de l'instrumentalisation des identités (2026 et au-delà)

La plus récente escalade des opérations cyber-offensives iraniennes marque une rupture fondamentale avec les méthodes de la décennie précédente. Si les motivations stratégiques restent constantes, l'exécution technique est passée du déploiement de malwares personnalisés à une forme hautement destructrice de Living-off-the-Land (LotL). Au lieu de tenter d'échapper aux agents EDR avec des wipers sophistiqués, ces groupes ciblent désormais le plan de gestion (management plane) de l'entreprise lui-même.

• Exploitation de la gestion des appareils mobiles (MDM) : Le principal vecteur d'attaque repose sur la compromission d'identités à hauts privilèges ayant accès à des consoles de gestion basées sur le cloud, telles que les plateformes MDM/RMM.
• Détournement des commandes intégrées : Une fois l'accès administratif sécurisé, les acteurs de la menace détournent des fonctionnalités légitimes, en particulier les commandes de suppression à distance (remote wipe) ou de réinitialisation d'usine (factory reset). En diffusant ces commandes sur l'ensemble du tenant géré, les attaquants peuvent effacer simultanément des centaines de milliers d'ordinateurs portables, de serveurs et d'appareils mobiles d'entreprise (y compris le matériel personnel en BYOD - Bring Your Own Device) à travers des infrastructures mondiales.
• L’angle mort des EDR : Comme aucun wiper traditionnel n'est déposé et qu'aucun processus d'écriture sur disque anormal n'est initié par un exécutable inconnu, les plateformes EDR et les antivirus peuvent rester largement aveugles à l'activité. Les commandes destructrices sont authentifiées, autorisées et délivrées directement depuis l'infrastructure de confiance des fournisseurs.

Cette méthodologie offre une échelle et une rapidité sans précédent. Elle élimine la nécessité, coûteuse en ressources, de développer, tester et mettre à jour des familles de malwares personnalisés, tout en garantissant un impact catastrophique sur les capacités opérationnelles de la cible.

Perspectives : un nouveau paradigme stratégique

Pour les professionnels de la cybersécurité, le modèle de menace a considérablement évolué. La principale leçon à tirer de cette chronologie évolutive est que l'infrastructure d'une organisation n'est pas plus robuste que son identifiant administratif le plus vulnérable. Lorsque des acteurs de menace peuvent transformer les outils de gestion et de sécurité d'un parc informatique en instruments de sa destruction, le paradigme défensif doit évoluer : il ne s'agit plus seulement de se concentrer sur la détection de malwares, mais d'imposer une résilience stricte des identités.

Pour les acteurs étatiques, perturber les opérations via l'abus d'identités natives est un moyen extrêmement efficace et évolutif de projeter leur puissance et d'infliger des dommages économiques. En comprenant cette évolution tactique, les organisations peuvent passer d'une posture de chasse réactive aux malwares à une résilience vérifiée, centrée sur l'identité.

Pour atténuer le risque d'abus administratif lié à des États, les équipes de sécurité doivent mettre en œuvre les contre-mesures stratégiques suivantes :

• Traiter le plan de gestion comme un actif de "Tier-0" : Les plateformes de gestion basées sur le cloud doivent être classées comme des infrastructures critiques. Les modifications des politiques MDM, les attributions de rôles et les périmètres d'inscription doivent être soumis aux mêmes processus rigoureux de contrôle des changements que les modifications de contrôleurs de domaine.
• Appliquer un accès conditionnel strict et le Zero Trust : L'accès aux portails administratifs doit être protégé par des politiques d'accès conditionnel robustes. Des identifiants valides et une authentification multifacteur (MFA) ne suffisent plus ; l'accès doit également nécessiter une vérification à partir d'un appareil d'entreprise connu, conforme et répertorié. Toute tentative d'authentification avec des identifiants volés depuis un appareil inconnu ou une plage d'adresses IP anormale doit déclencher un blocage pur et simple, et non un simple message de validation MFA.
• Éliminer les privilèges permanents : Les organisations doivent auditer et réduire drastiquement le nombre de comptes détenant des rôles d'administrateur général permanents. Mettez en œuvre une gestion des identités privilégiées (PIM - Privileged Identity Management) pour garantir que l'accès administratif n'est accordé que sur une base Just-In-Time (JIT), avec des flux de travail d'approbation et une limitation stricte dans le temps.
• Isoler et déconnecter les sauvegardes (Air-gap) : Dans un environnement où le tenant cloud lui-même est compromis, les sauvegardes connectées au cloud sont extrêmement vulnérables à la même destruction. Le maintien de sauvegardes hors ligne, déconnectées (air-gapped) et immuables est une exigence non négociable pour garantir la survie de l'organisation face à des opérations d'effacement administratif natif.

Ressources complémentaires

• Insights : Risque accru d'attaques par wiper– Unit 42, Palo Alto Networks
• Évaluation de la menace Boggy Serpens – Unit 42, Palo Alto Networks
• Note d'actualité sur les menaces : Escalade du cyber-risque lié à l'Iran en mars 2026 – Unit 42, Palo Alto Networks

Mis à jour le 23 mars 2026 à 15h26 (PT) pour inclure une section Ressources complémentaires avec des liens.