MuddyWater déploie Dindoor : espionnage iranien en 9 pays

MuddyWater déploie Dindoor et MiniJunk dans une offensive multi-continents

Des chercheurs en cybersécurité ont publié le 26 mai 2026 une analyse détaillée d'une campagne d'espionnage de grande ampleur attribuée au groupe iranien MuddyWater, également référencé sous les noms MERCURY, Mango Sandstorm, Earth Vetala et TA450. Cette opération, active depuis au moins le début de l'année 2026, a permis au groupe de compromettre au minimum neuf organisations réparties sur neuf pays et quatre continents au cours du premier trimestre 2026, selon SecurityWeek et GuardianMSSP.

La campagne se distingue par l'introduction de deux nouveaux outils malveillants. Le premier, baptisé Dindoor, est un backdoor inédit dont l'originalité technique réside dans son mode d'exécution : il s'appuie sur Deno, le runtime JavaScript et TypeScript développé par Ryan Dahl — le créateur de Node.js — comme environnement d'exécution. L'utilisation de Deno permet au code malveillant de bénéficier d'un contexte d'exécution légitime, compliquant considérablement sa détection par les solutions de sécurité qui n'associent pas ce runtime à des activités malveillantes. Le second outil identifié est une version améliorée du backdoor MiniJunk, déjà connu des analystes comme composant de l'arsenal de MuddyWater.

Selon l'analyse publiée par SecurityWeek et relayée par plusieurs CERT nationaux, la campagne a débuté avec une forte activité observée dès février 2026, avec une accélération notable après le 28 février 2026, date à laquelle des frappes militaires américaines et israéliennes ont ciblé des installations iraniennes. Cette corrélation temporelle suggère que la campagne d'espionnage a été partiellement intensifiée par des considérations géopolitiques directes, une caractéristique cohérente avec le profil de MuddyWater — groupe considéré comme affilié au Ministère du renseignement et de la sécurité iranien (MOIS) par le FBI, la CISA et le NCSC britannique.

Les cibles identifiées aux États-Unis comprennent une banque américaine, un aéroport, une organisation à but non lucratif et la filiale israélienne d'une entreprise de logiciels travaillant comme prestataire pour les secteurs de la défense et de l'aérospatiale. C'est précisément sur les systèmes de cette dernière que le backdoor Dindoor a été découvert pour la première fois par les équipes de Rescana, aux côtés d'infections sur les réseaux de la banque américaine et de l'organisation canadienne à but non lucratif. La présence du même outil dans des organisations géographiquement et sectoriellement disparates suggère une coordination opérationnelle centralisée et une phase de préparation soignée.

Pour l'infiltration initiale, les analystes de GuardianMSSP et de SOCRadar ont documenté une technique de DLL side-loading sophistiquée. Dans ce vecteur, les attaquants envoient des e-mails ciblant des employés d'entreprises d'aviation et de logiciels en Arabie Saoudite et en Australie, les incitant à télécharger une archive ZIP depuis la plateforme OnlyOffice. Ce document contient un exécutable légitime signé qui, lors de son lancement, charge silencieusement une DLL malveillante depuis le même répertoire. Cette technique de side-loading exploite la confiance accordée par Windows aux binaires signés, qui chargent les DLL depuis le répertoire courant sans en vérifier l'intégrité.

Une fois le backdoor MiniJunk installé sur les systèmes cibles en Arabie Saoudite et en Australie, les opérateurs MuddyWater obtiennent une persistance sur le système, la capacité de télécharger et d'exécuter des commandes arbitraires, et d'exfiltrer des données via des canaux chiffrés. Dindoor, déployé dans les environnements américains, canadiens et israéliens, offre des capacités similaires avec l'avantage supplémentaire de contourner les détections basées sur les signatures grâce à l'utilisation du runtime Deno — un environnement absent des listes noires des outils malveillants dans la plupart des configurations EDR actuelles.

Le recours à la plateforme OnlyOffice comme vecteur de distribution illustre une tendance croissante chez les APT : utiliser des services cloud authentiques pour héberger leurs charges malveillantes, réduisant ainsi l'efficacité des filtres basés sur la réputation des domaines. Des groupes comme APT29 et Lazarus ont adopté des techniques similaires, utilisant respectivement Google Drive et OneDrive comme infrastructure de commande et contrôle lors de campagnes précédentes.

Les secteurs industriels ciblés — défense, aérospatiale, services financiers, éducation — correspondent aux priorités de renseignement stratégique de l'Iran. MuddyWater est actif depuis 2017 et a ciblé des organisations dans plus de 30 pays selon MITRE ATT&CK (groupe G0069), faisant de lui l'un des groupes APT les plus prolifiques de la région Moyen-Orient. L'intensification de son activité en 2026 est cohérente avec la dégradation du contexte sécuritaire régional.

Un acteur iranien qui s'adapte au rythme des tensions géopolitiques

La découverte de Dindoor et de la version améliorée de MiniJunk confirme la capacité d'adaptation constante de MuddyWater, qui renouvèle régulièrement son arsenal pour contourner les détections basées sur les indicateurs techniques. Depuis 2022, le groupe a significativement évolué ses techniques d'intrusion initiale, passant des campagnes de spear-phishing classiques à des méthodes plus sophistiquées exploitant des outils de collaboration légitimes. Des plateformes comme Slack, Dropbox et désormais OnlyOffice ont été utilisées comme canaux de distribution ou de commande.

Le contexte géopolitique de 2026 explique en partie l'intensification observée. Les tensions entre l'Iran, les États-Unis et Israël ont atteint un niveau élevé depuis le début de l'année, avec des opérations militaires croisées et des cyberattaques documentées dans les deux sens. Pour MuddyWater, la mission principale reste le renseignement stratégique plutôt que la destruction d'infrastructures, ce qui le distingue d'autres acteurs iraniens comme Shamoon ou APT34 (OilRig). Cette orientation vers l'espionnage signifie que les compromissions peuvent rester silencieuses pendant des mois avant d'être détectées, aggravant l'exposition des victimes.

Pour les entreprises opérant dans les secteurs de la défense, de l'aérospatiale ou de la finance avec des activités au Moyen-Orient ou des contrats gouvernementaux américains ou israéliens, cette campagne représente une menace concrète et immédiate. La chaîne d'approvisionnement logicielle est particulièrement visée : la compromission d'un prestataire peut servir de tremplin vers des cibles de plus haute valeur. L'entreprise de logiciels américaine identifiée dans cette campagne constitue un exemple typique de ce vecteur de compromission indirecte.

Sur le plan de la détection, les équipes SOC doivent adapter leurs règles de surveillance pour intégrer les comportements associés à Deno comme runtime inhabituel sur des postes de travail standard, surveiller les chargements de DLL depuis des répertoires non système lors du lancement d'applications bureautiques, et détecter les connexions sortantes vers OnlyOffice depuis des endpoints non autorisés. Les indicateurs de compromission (IoC) relatifs à cette campagne ont été publiés par SOCRadar et Rescana et doivent être intégrés en priorité dans les outils SIEM et SOAR.

Ce qu'il faut retenir

• MuddyWater déploie Dindoor, un backdoor inédit utilisant le runtime Deno pour échapper aux détections EDR, dans une campagne d'espionnage active ciblant 9 pays sur 4 continents depuis le début de 2026.
• L'escalade de l'activité est corrélée aux frappes militaires du 28 février 2026, confirmant le lien entre tensions géopolitiques régionales et intensification des opérations cyber iraniennes.
• Les IoC publiés par SOCRadar et GuardianMSSP doivent être intégrés immédiatement dans les outils SIEM ; surveiller en priorité les processus Deno inattendus et les téléchargements depuis OnlyOffice.