L’opération militaire conjointe lancée le 28 février par les États-Unis et Israël a provoqué une réaction immédiate de l’écosystème cybernétique proche de l’Iran, ouvrant un nouveau front de confrontation numérique qui dépasse le cadre régional. Ce scénario combine des actions de hacktivisme coordonnées, des campagnes de propagande et une pression accrue sur des infrastructures stratégiques clés.

Selon le dernier rapport de Unit 42, l’équipe d’intelligence des menaces de Palo Alto Networks, une activation simultanée de plus de 60 groupes proiranien et prorusse a été détectée. L’analyse mentionne également l’émergence d’une plateforme baptisée “Electronic Operations Room”, qui agirait comme un centre de coordination tant opérationnelle que narrative pour mener des attaques perturbatrices dans plusieurs pays. Parmi les collectifs les plus actifs signalés par Unit 42, on trouve :

• Handala Hack, lié au ministère iranien du Renseignement et de la Sécurité (MOIS), combinant exfiltration de données et opérations de pression psychologique.
• APT Iran, connu pour ses campagnes de hacking et fuite d’informations (“hack-and-leak”).
• Cyber Islamic Resistance, collectif de coordination regroupant des équipes telles que RipperSec et Cyb3rDrag0nzz, spécialisés dans les attaques DDoS et opérations destructrices.
• Dark Storm Team, spécialisé en attaques DDoS et ransomwares.
• FAD Team (Fatimiyoun Cyber Team), concentré sur les malware de type “wiper” et la destruction permanente de données.
• Evil Markhors, axé sur la collecte de crédentials et l’identification de systèmes critiques non corrigés.
• Sylhet Gang, qui joue un rôle d’amplificateur narratif et de moteur de recrutement.
• 313 Team (Islamic Cyber Resistance in Iraq).
• DieNet, actif dans des attaques DDoS au Moyen-Orient.

Par ailleurs, des collectifs prorusses tels que Cardinal, NoName057(16) et Russian Legion ont revendiqué des attaques contre des entités israéliennes, incluant des systèmes municipaux, politiques, de télécommunications et de défense. Concernant Russian Legion, le groupe a affirmé avoir pénétré dans le système de défense antimissile Iron Dome ainsi que dans des serveurs isolés de l’IDF, déclarations qui font partie de leur communication officielle.

Unit 42 souligne qu’à partir de la matinée du 28 février, la connectivité Internet en Iran a chuté à des niveaux estimés entre 1% et 4%. La perte de connectivité, couplée à une dégradation des structures de commandement et de leadership, pourrait compliquer pour les acteurs alignés avec l’État la coordination et l’exécution de cyberattaques sophistiquées à court terme.

Attaques, campagnes actives et évolution possible de la menace

Parmi les activités identifiées par Unit 42 figurent des revendications d’accès non autorisé à des environnements sensibles, notamment des systèmes industriels SCADA/PLC, ainsi que des infrastructures et services liés aux secteurs de l’énergie, des paiements, des institutions financières, ainsi que des organismes publics et des objectifs liés au transport et à l’administration.

L’enquête documente également une campagne active de phishing utilisant une réplique malveillante de l’application israélienne Home Front Command RedAlert, diffusée par SMS avec des liens pour télécharger un fichier APK. Selon Unit 42, ce fichier semble authentique et est utilisé pour déployer un malware mobile destiné à la surveillance et à l’exfiltration de données. Le rapport mentionne aussi des cas de vishing aux Émirats arabes unis, où des attaquants impersonnent le ministère de l’Intérieur afin d’obtenir des crédentials et des données d’identification.

De plus, Unit 42 note une intensification du ton de l’intimidation numérique. En particulier, Handala Hack aurait envoyé des courriels contenant des menaces directes à des influenceurs irano-américains et irano-canadiens, incluant la revendication d’avoir divulgué leurs adresses physiques.

Recommandations face à un environnement de risque élevé

Face à un contexte de menace en constante évolution, Palo Alto Networks recommande d’adopter une stratégie de défense en couches, basée sur des technologies avancées et une hygiène cybernétique renforcée :

• Maintenir au moins une copie de sauvegarde critique, déconnectée du réseau (air-gapped).
• Mettre en place une vérification hors bande pour les demandes sensibles.
• Renforcer la surveillance des actifs exposés à Internet, y compris sites web, VPN et environnements cloud.
• Appliquer des correctifs de sécurité et suivre les bonnes pratiques de durcissement pour les infrastructures critiques.
• Former les employés aux techniques de phishing et d’ingénierie sociale.
• Évaluer le blocage géographique des adresses IP dans les régions où aucune activité légitime n’est observée.
• Mettre à jour les plans de continuité des activités et les protocoles de gestion de crise.
• Établir des procédures pour valider et répondre rapidement en cas de violations ou de fuites d’informations.
• Maintenir une surveillance continue face aux campagnes de pression réputationnelle et aux narratifs amplifiés par les acteurs de la menace.

La société souligne également l’importance de s’appuyer sur des solutions de sécurité éprouvées, des capacités avancées de détection et de réponse, ainsi que sur des équipes spécialisées en intelligence des menaces et en investigation d’incidents, afin de réduire l’impact potentiel de telles campagnes.