Briefing Menace – Hausse du cyber-risque lié à l’Iran (Mise à jour le 30 juin)

Synthèse

Le récent conflit impliquant l'Iran, et notamment la confrontation militaire avec Israël et les États-Unis, entraîne une multiplication des cybermenaces. Les lignes de front s’étendent désormais au monde numérique.

Bien qu’aucune hausse spectaculaire des cyberattaques dirigées par l’Iran n’a été observée à ce stade, toute escalade pourrait se traduire par une intensification des opérations cyber, tant de la part de groupes parrainés par l’État que d’hacktivistes indépendants. Leur objectif : la perturbation, la collecte de renseignements ou la manipulation des adversaires présumés. Les groupes iraniens ont déjà ciblé des infrastructures critiques et des secteurs sensibles, aussi bien dans les sphères publique que privée, et ce à l'échelle mondiale. Les conséquences potentielles pourraient être colossales.

Au cours des deux dernières années, Unit 42 a observé une intensification des activités cyber à l’international émanant de groupes soutenus par l’Iran et d'hacktivistes qui leur sont affiliés. Citons notamment :

• L'utilisation opportuniste de l'IA Générative (GenAI) à des fins d'ingénierie sociale et d'opérations d'influence.
• Les attaques destructrices en réponse à certains événements géopolitiques

Ces actions renforcent la réputation de ces groupes, déjà connus de longue date pour leurs activités malveillantes, qui pourraient s'intensifier dans le contexte de la confrontation avec Israël et les États-Unis. Il faut donc s'attendre aux types d'attaques suivants :

• Des attaques destructrices
• Des défigurations de sites web
• Des attaques DDoS
• L’exfiltration de données et attaques de type wiper (effacement de données), similaires à celles que nous avions précédemment observées chez des groupes iraniens ciblant les secteurs israéliens de l’éducation et des technologies

Nous suivons l’activité des menaces à l’échelle mondiale, en portant une attention particulière à quatre acteurs étatiques majeurs : l’Iran, la Chine, la Russie et la Corée du Nord. Les principaux objectifs des groupes étatiques iraniens sont l’espionnage et la perturbation. Et pour ce faire, ils recourent à un large éventail de Tactiques, Techniques et Procédures (TTP), parmi lesquelles des campagnes de « spear phishing » ciblées et l’exploitation de failles connues. Nous avons notamment observé les approches suivantes :

• Infrastructures clandestines d'espionnage : Unit 42 a récemment identifié une infrastructure suspecte utilisée par des acteurs iraniens. Celle-ci se faisait passer pour une agence de mannequins allemande afin de mener des opérations de cyberespionnage. Ces campagnes s'appuyaient sur de faux sites web conçus pour collecter en masse les données des visiteurs, ce qui suggère des objectifs de renseignement stratégique..
• L’ingénierie sociale augmentée par l’IA : nous avons récemment observé un groupe cyber iranien (Agent Serpens, aussi connu sous le nom de CharmingKitten) exploiter l'IA générative (GenAI) via un fichier PDF malveillant. Ce dernier était présenté comme un document du RAND, un organisme américain de recherche à but non lucratif, et était distribué avec un logiciel malveillant (malware) ciblé..
• Opérations destructrices et persistantes : soutenu par l’Iran, le groupe APT Agonizing Serpens a ciblé les secteurs israéliens de l’éducation et de la technologie entre janvier et octobre 2023. Son objectif principal était le vol de données sensibles, notamment d'informations personnelles et de propriété intellectuelle. Lors de ces attaques, le groupe a également déployé des wipers (logiciels d'effacement de données) afin de détruire les systèmes et d'entraver les analyses forensiques.

Dans le contexte de tensions géopolitiques avec l’Iran, nous avons identifié quatre axes majeurs liés à la cybermenace :

• Les acteurs de la menace iraniens : À court terme, ces cyberacteurs étatiques, soutenus par l'État, devraient mener des attaques ciblées. Parmi celles-ci, nous prévoyons notamment des campagnes de hameçonnage ciblé “spear phishing” visant des diplomates, ou encore des logiciels malveillants destructeurs de type wiper dirigés contre des organisations liées aux intérêts américains.
• Les hacktivistes : les hacktivistes pro-iraniens poursuivront probablement leurs attaques perturbatrices et leurs opérations d’influence. Leurs cibles incluront les intérêts américains, tant sur le sol national qu'à l'étranger. Nous pouvons nous attendre à des attaques par déni de service distribué (DDoS) pour perturber l'accès à Internet, ainsi qu'à des campagnes d'influence sur les réseaux sociaux.
• Les groupes de cybercriminels : ces groupes pourraient exploiter de manière opportuniste l’instabilité mondiale pour lancer des campagnes d' hameçonnage. Ils utiliseraient l'actualité comme prétexte pour diffuser des e-mails et des pièces jointes malveillantes.
• Les autres acteurs étatiques : D'autres acteurs étatiques de la menace pourraient profiter de la situation pour servir leurs propres intérêts. Nous pensons notamment aux opérations sous fausse bannière, où des cyberattaquants extérieurs masquent leurs actions pour se faire passer pour des acteurs iraniens. C’est ce que nous avons observé lorsque la Russie a détourné l’infrastructure cyber de l’Iran en 2019 pour s’introduire dans des réseaux déjà compromis par des acteurs iraniens.

Grâce aux solutions suivantes, les clients de Palo Alto Networks bénéficient de protections et de mesures d’atténuation contre les activités de ces acteurs malveillants :

• Pare-feu de nouvelle génération avec Advanced Threat Prevention
• Cortex XDR, XSIAM et Cortex Cloud

L’équipe de réponse aux incidents d’Unit 42 peut également intervenir en cas de compromission ou réaliser une évaluation proactive afin de réduire votre niveau de risque.

Le périmètre actuel des cyberattaques

Unit 42 surveille plusieurs acteurs étatiques iraniens, regroupés sous la bannière Serpens (d’après la constellation du Serpent). Leur activité pourrait s’intensifier ou monter en puissance dans les semaines à venir.

LLeurs capacités sont souvent mobilisées pour renforcer et amplifier les messages politiques iraniens, notamment via des approches destructrices et psychologiques. Ces campagnes devraient se concentrer sur des cibles régionales (comme Israël), ainsi que sur des objectifs stratégiques incluant les responsables politiques, les décideurs clés et d'autres entités directement impliquées.

Les opérations soutenues par l’État pourraient viser la chaîne d’approvisionnement des victimes, leurs infrastructures critiques, leurs fournisseurs ou leurs prestataires de services.

La majorité des cyberattaques signalées jusqu’à présent sont des attaques de déni de service (DoS), dont l'objectif est délibérément la perturbation. Des attaquants indépendants, qu’ils soient hacktivistes ou exploités comme proxy, soutiennent également l’un des deux camps, avec pour objectif de nuire à l’autre partie et d’influencer l’opinion.

Au 22 juin 2025, 120 groupes hacktivistes seraient mobilisés autour de ces événements. D’autres rapports publics font également état d’activités menées par des groupes cybercriminels et des proxys étatiques.

Le déni de service distribué semble être la méthode la plus fréquemment signalée, suivie par les attaques destructrices. Des chercheurs ont identifié des échantillons de logiciels malveillants destructeurs (notamment des wipers) en lien avec ces événements. Exemple récent : la destruction de 90 millions de dollars lors d’une intrusion dans une plateforme d’échange de cryptomonnaies (en juin 2025).

D’autres compromissions de données, accompagnées de fuites ciblées, visent à nuire à l’une ou l’autre des parties impliquées. Certains rapports mentionnent également des attaques visant les technologiques opérationnelles (OT). Ces deux aspects sont parfois liés, car des compromissions de données d’entreprises du secteur de l’énergie et d’autres services publics ont également été signalées en relation directe avec le contexte géopolitique.

Les groupes de menaces iraniens suivis par Unit 42

• Agent Serpens (ou APT42)
  • Groupe spécialisé dans l’espionnage et la surveillance, ciblant principalement Israël et les États-Unis. Il vise les dissidents, militants, journalistes et autres personnes perçues comme une menace ou s’opposant au régime iranien.
  • Accès initial : campagnes de spear phishing, vol d’identifiants via de fausses pages de connexion, installations de trous d’eau (« watering hole »).
• Agonizing Serpens (ou Pink Sandstorm)
  • Ce groupe se livre à des activités d’espionnage, à des ransomwares et à des attaques par malwares destructeurs contre des cibles au Moyen-Orient, en particulier contre Israël.
  • Accès initial : attaques par mot de passe (brute force, password spraying) et exploitation de failles connues, suivie du déploiement de web shells.
• Boggy Serpens (ou MuddyWater)
  • Un groupe de cyberespionnage qui fournit des données volées et un accès au gouvernement iranien, ainsi qu’à d’autres acteurs de la menace.
  • Accès initial : spear phishing et exploitation de vulnérabilités connues.
• Curious Serpens (ou Peach Sandstorm)
  • ​​Groupe d'espionnage actif depuis 2013 ciblant les secteurs de l'aérospatiale, de la défense et de l'énergie aux États-Unis, au Moyen-Orient et en Europe. Le groupe a exploité l'infrastructure en nuage, notamment Azure, pour ses opérations C2.
  • Accès initial : Attaques par pulvérisation de mots de passe largement ciblées ou campagnes d'ingénierie sociale basées sur le recrutement d'emplois pour diffuser des logiciels malveillants personnalisés, y compris les portes dérobées Falsefont ou Tickler. Une fois à l'intérieur, le groupe est connu pour mener des activités de découverte avec des outils tels que AzureHound et Roadtools pour collecter et vider les données de Microsoft Entra ID.
• Devious Serpens (ou Imperial Kitten)
  • groupe d’espionnage connu pour cibler les fournisseurs informatiques au Moyen-Orient, dans le cadre de campagnes visant la chaîne d’approvisionnement.
  • Accès initial : ingénierie sociale via les réseaux sociaux, spear phishing ciblé sur les identifiants, installation de trous d’eau et déploiement de web shells.
• Evasive Serpens (ou APT34)
  • Groupe d’espionnage prolifique, opérant sur un large éventail de cibles en lien avec les intérêts stratégiques de l’État.
  • Accès initial : recours intensif au spear phishing, mais également à des techniques plus complexes comme des campagnes de vol d’identifiants et des détournements de DNS.
• Industrial Serpens (ou Chrono Kitten)
  • Proxy lié à l’Iran, menant des attaques perturbatrices (ransomware, malwares de type wiper, campagnes de hack-and-leak) alignées sur les objectifs iraniens.
  • Accès initial : ingénierie sociale pour distribuer des spywares Android hébergés sur des sites maquillés, attaques par mot de passe (brute force, password spraying) et exploitation de vulnérabilités connues.

Conclusion

Face à la diversité des tactiques utilisées par les acteurs de la menace, une approche de défense en profondeur demeure la plus efficace. En effet, aucun outil seul ne peut offrir une protection complète contre des menaces aussi adaptables. Nous recommandons de renforcer les bases de l'hygiène en matière de sécurité et d'opter pour une approche éprouvée afin de gagner en résilience face à un large éventail de tactiques.

Voici les mesures à privilégier pour limiter les impacts potentiels d’éventuelles attaques.

Recommandations tactiques

• Renforcer les capacités de détection et de réponse, en particulier sur les signaux de menace liés aux Internet-facing assets tels que les sites web, les passerelles VPN et les ressources cloud.
• Mettre à jour l’infrastructure exposée à Internet avec les derniers correctifs de sécurité et appliquer les bonnes pratiques de renforcement.
• Sensibiliser les employés aux techniques de hameçonnage et d’ingénierie sociale, et mettre en œuvre une surveillance permanente des activités suspectes
• Le 30 juin, la CISA, le FBI, le DoD Cyber Crime Center et la NSA ont publié une fiche d'information commune intitulée « Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest » (Les cyberacteurs iraniens peuvent cibler des réseaux américains vulnérables et des entités d'intérêt), dans laquelle ils invitent les organisations à rester vigilantes face à d'éventuelles cyberopérations ciblées menées par des acteurs iraniens parrainés par l'État ou affiliés à ce dernier.

Recommandations stratégiques

• Initier ou mettre à jour les plans de continuité d’activité pour les collaborateurs ou les actifs potentiellement exposés aux attaques informatiques ou physiques
• Se préparer à valider et gérer d’éventuelles revendications de compromission ou de fuite de données
  • Les acteurs de la menace peuvent exploiter ce type de déclarations (même infondées) pour nuire à leurs victimes ou les harceler, ou encore pour diffuser des messages politiques.

L’activité est susceptible de s’intensifier tout au long de ces événements. Il est donc essentiel de rester en alerte face aux attaques potentielles. Les hacktivistes et acteurs étatiques font preuve d’opportunisme, ce qui peut entraîner des attaques ciblant des sources inattendues.

Nous mettrons à jour ce Bulletin sécurité au fur et à mesure de l’évolution de la situation et de l’arrivée de nouvelles informations pertinentes.

Comment Palo Alto Networks et Unit 42 peuvent vous aider

Les clients Palo Alto Networks peuvent s’appuyer sur un large éventail de protections intégrées aux produits et de mises à jour pour identifier et contrer les menaces liées à ces événements.

Vous pensez que votre entreprise a été compromise ? Vous devez faire face à une urgence ? Contactez l’équipe Unit 42 de réponse à incident ou composez l’un des numéros suivants :

• Amérique du Nord Gratuit : +1 (866) 486-4842 (866.4.UNIT42)
• Royaume-Uni : +44 20 3743 3660
• Europe et Moyen-Orient : +31.20.299.3130
• Asie : +65.6983.8730
• Japon : +81 50 1790 0200
• Australie : +61.2.4062.7950
• Inde : 00080005045107

Pare-feu nouvelle génération et Prisma Access avec Advanced Threat Prevention

Advanced Threat Prevention intègre une détection basée sur le machine learning pour identifier les exploits en temps réel.

Cortex

Cortex XDR, XSIAM et Cortex Cloud sont pensés pour empêcher l’exécution de logiciels malveillants connus. Grâce à la protection comportementale contre les menaces et au machine learning intégré au module Local Analysis, ils bloquent également l’exécution de logiciels malveillants inconnus et d’autres menaces.