En bref

  • Le groupe iranien MuddyWater (alias Seedworm), affilié au ministère du Renseignement et de la Sécurité (MOIS), s'est fait passer pour un opérateur du ransomware Chaos afin de masquer une opération d'espionnage de plus grande envergure.
  • Selon Rapid7, qui a publié l'analyse le 14 mai 2026, la chaîne d'attaque démarre par une ingénierie sociale via Microsoft Teams avec partage d'écran interactif, vol de credentials et manipulation MFA, avant le déploiement d'AnyDesk, DWAgent et RDP pour la persistance.
  • L'absence de chiffrement effectif malgré la présence d'artefacts Chaos trahit la nature réelle de l'opération : un faux drapeau destiné à brouiller l'attribution et à protéger les objectifs renseignement de Téhéran.

Une intrusion qui ressemblait à du ransomware classique

L'équipe Threat Research de Rapid7 a publié, le 14 mai 2026, un rapport qui jette un éclairage nouveau sur une campagne d'intrusion observée depuis le début de l'année dans plusieurs entreprises occidentales. À première vue, l'incident présentait toutes les caractéristiques d'une attaque ransomware-as-a-service opérée sous la marque Chaos, un kit malveillant relativement récent qui s'est fait remarquer pour son usage de bibliothèques de chiffrement standards et sa note de rançon générique. Selon Rapid7, l'analyse fine de la chaîne d'attaque révèle au contraire les marqueurs caractéristiques de MuddyWater, alias Seedworm, un groupe APT iranien rattaché au ministère du Renseignement et de la Sécurité (MOIS) actif depuis 2017.

Le mode opératoire commence par une phase de social engineering particulièrement soignée. Les attaquants ouvrent un chat Microsoft Teams avec un employé ciblé, généralement en se faisant passer pour un membre du support informatique interne ou un prestataire externe légitime. Selon les indicateurs publiés par Rapid7 et confirmés par Cybersecurity Dive, ils établissent ensuite une session de partage d'écran interactive pendant laquelle ils guident la victime vers la saisie de ses identifiants sur une fausse interface, puis la convainquent de valider une notification MFA. Cette manipulation, qualifiée de high-touch dans le rapport, distingue MuddyWater des opérateurs de ransomware traditionnels qui privilégient le phishing de masse ou l'exploitation de vulnérabilités publiques.

Une fois les credentials d'un utilisateur compromis, le groupe procède à une élévation de privilèges méthodique. La phase post-exploitation comprend l'authentification sur un contrôleur de domaine et l'établissement d'une persistance à plusieurs niveaux. Selon Rapid7, les outils privilégiés sont RDP en lateral movement, DWAgent et AnyDesk comme back-up canaux de prise en main à distance. Cette stratégie de redondance trahit l'ambition : il ne s'agit pas de chiffrer rapidement quelques fichiers pour réclamer une rançon, mais de maintenir un accès durable au système d'information.

C'est précisément ce qui a alerté les analystes. Selon SecurityWeek, qui a relayé le rapport, l'absence de chiffrement effectif malgré la présence d'artefacts Chaos sur les machines compromises constitue une anomalie majeure. Le binaire ransomware était présent, déployé, parfois exécuté, mais aucun fichier n'était finalement chiffré sur les volumes critiques. Cette dissonance, combinée à la durée prolongée de la présence des intrus sur les réseaux (plusieurs semaines dans certains cas), a orienté l'enquête vers une opération d'exfiltration camouflée.

L'attribution à MuddyWater repose, selon Rapid7, sur trois faisceaux d'indices convergents avec une confiance qualifiée de modérée. Premièrement, un certificat de signature de code attribué à un certain Donald Gay, déjà utilisé pour signer les souches Stagecomp et Darkcomp précédemment associées au groupe, a été retrouvé sur l'exécutable ms_upd.exe déployé sur les machines. Deuxièmement, l'infrastructure de commande et contrôle présente des recouvrements avec des serveurs identifiés dans des campagnes MuddyWater de 2025. Troisièmement, le tradecraft opérationnel - choix des cibles, séquencement des actions, formulations linguistiques dans les chats Teams - correspond aux patterns historiques du groupe documentés par Microsoft Threat Intelligence et Mandiant.

Le recours à une marque ransomware comme couverture s'inscrit dans une tendance plus large. Selon Industrial Cyber, qui cite des analyses de SOC Prime et Infosecurity Magazine, plusieurs groupes APT alignés sur des États ont adopté cette tactique depuis fin 2024 pour profiter du bruit médiatique généré par les écosystèmes cybercriminels. Le pari est simple : si l'incident est qualifié de ransomware classique, l'enquête se concentre sur le profil financier des opérateurs, ce qui détourne l'attention des objectifs réels - documents stratégiques, propriété intellectuelle, échanges diplomatiques, données techniques sur des infrastructures critiques.

Selon BleepingComputer, qui a interrogé plusieurs entreprises affectées sous couvert d'anonymat, les secteurs visés couvrent l'énergie, l'industrie de défense et le conseil. La géographie est cohérente avec les priorités historiques de MuddyWater : Moyen-Orient, États-Unis, Europe et quelques cibles en Asie du Sud-Est. La France n'est pas explicitement mentionnée dans les premiers rapports publiés, mais l'ANSSI a indiqué surveiller activement les indicateurs de compromission diffusés par Rapid7 et le CERT-FR, et invite les entreprises des secteurs sensibles à renforcer leur supervision des sessions Teams entrantes émanant d'utilisateurs externes.

Pourquoi c'est important

Au-delà de l'anecdote technique, l'opération MuddyWater illustre la convergence croissante entre cybercrime et espionnage étatique. La frontière entre les deux écosystèmes, longtemps marquée par des outils, des cibles et des motivations distinctes, s'estompe à mesure que les groupes APT empruntent les techniques, les marques et parfois même les infrastructures des opérateurs ransomware. Cette hybridation complique sérieusement le travail des analystes : un signal qui ressemble à du ransomware peut désormais cacher un programme de renseignement, et inversement. Les entreprises ciblées doivent donc faire évoluer leur posture : la qualification initiale d'un incident comme criminel ou étatique ne peut plus servir de boussole pour décider du niveau de réponse.

L'utilisation de Microsoft Teams comme vecteur initial est, à elle seule, un signal d'alarme. La plateforme, présente dans la quasi-totalité des entreprises ayant migré vers Microsoft 365, dispose par défaut d'une fonctionnalité de chat externe qui permet à n'importe quel utilisateur disposant d'un tenant Entra ID d'initier une conversation avec vos employés. Bien que Microsoft ait introduit en 2024 des paramètres de restriction granulaire, beaucoup d'organisations laissent la configuration par défaut, ce qui ouvre une porte d'entrée discrète et sociale. Pour les RSSI, la leçon est claire : auditer immédiatement les politiques de communication externe sur Teams, restreindre les sessions de partage d'écran initiées par des contacts externes, et sensibiliser les équipes IT à la possibilité d'usurpation d'identité par ce canal.

L'opération met également en lumière la sophistication croissante des attaques MFA-aware. La validation d'une notification d'authentification multi-facteurs reste perçue par beaucoup d'utilisateurs comme une formalité technique anodine, alors qu'elle constitue désormais le maillon critique exploité par les attaquants. Selon les recommandations de l'ANSSI et de la CISA convergentes sur ce point, les organisations doivent migrer vers des facteurs résistants au phishing (FIDO2, passkeys liées à la machine) plutôt que de continuer à s'appuyer sur des notifications push approuvables d'un simple tap. Les solutions de number matching, déjà déployées chez certains éditeurs, réduisent partiellement le risque mais ne l'éliminent pas.

Sur le plan géopolitique, l'attribution publique à un acteur iranien intervient dans un contexte tendu, marqué par la reprise des tensions au Moyen-Orient et l'adoption récente de nouvelles sanctions américaines visant les cyberopérations du MOIS. Plusieurs experts interrogés par The Hacker News y voient une réponse stratégique aux nouvelles capacités américaines, avec un déplacement des opérations iraniennes vers des techniques plus discrètes et plus difficiles à attribuer. La période à venir pourrait voir une multiplication de ce type d'opérations sous faux drapeau, ce qui plaide pour un renforcement de la coopération internationale en matière de threat intelligence et de partage d'indicateurs de compromission.

Ce qu'il faut retenir

  • MuddyWater (Seedworm), groupe APT iranien rattaché au MOIS, masque ses opérations d'espionnage sous la marque ransomware Chaos pour brouiller l'attribution.
  • Le vecteur initial est Microsoft Teams avec partage d'écran et manipulation MFA ; AnyDesk, DWAgent et RDP servent à la persistance.
  • Restreindre les chats Teams externes, durcir les politiques MFA avec FIDO2, et superviser les sessions de partage d'écran constituent les contre-mesures prioritaires.

Comment distinguer un vrai ransomware d'une opération d'espionnage sous faux drapeau ?

Plusieurs signaux trahissent une opération sous faux drapeau : durée de présence prolongée sur le réseau (plusieurs semaines), absence ou caractère partiel du chiffrement effectif, déploiement multiple d'outils de prise en main à distance comme AnyDesk et DWAgent en redondance, exfiltration ciblée de documents sensibles antérieure à la note de rançon. Une note de rançon générique sans interaction réelle avec les opérateurs reste également un indice. En cas de doute, mobilisez immédiatement votre cellule de réponse à incident et préservez les artefacts forensiques.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact