Surveillance des cyberattaques directement liées au conflit militaire américano-israélo-iranien

Ce rapport Flare couvre les cyberopérations confirmées et rapportées de manière crédible, survenues entre le 28 avril et le 4 mai 2026, et liées au conflit israélo-iranien. La période étudiée s'étend du 60e au 66e jour du conflit.

Une cyberopération attribuée s'inscrit dans cette période : la campagne de menaces menée par Handala via WhatsApp contre des militaires américains de la base navale de Bahreïn, les 27 et 28 avril, associée à une publication de doxxing sur un canal Telegram révélant les noms et numéros de téléphone de 2 379 Marines américains stationnés dans le Golfe persique. Des messages identiques, à connotation persane, ont été envoyés à des destinataires civils en Israël le même jour. Le tableau des cybermenaces reste régi par les indicateurs de détection établis début avril : l'attribution unifiée MOIS de DomainTools (20 avril), l'avis CISA AA26-097A PLC (7 avril), la méthode FactoryTalk-on-VPS de l'unité 42 CL-STA-1128 (17 avril), les TTP de Check Point Void Manticore (2 avril) et le logiciel malveillant C2 Telegram FLASH-20260320-001 du FBI. La campagne de Bahreïn confirme l'évaluation d'Halcyon selon laquelle la diminution de la production publique de Handala depuis janvier reflète une activité soutenue plutôt qu'une période d'inactivité. Le contexte cinétique et diplomatique actuel (blocus continu, posture offensive, saisies de navires de la MSC, interdiction de Tifani, prolongation du cessez-le-feu israélo-libanais) demeure inchangé. Maintenez le niveau de détection maximal. Le passage de cibles stratégiques à l'intimidation directe de militaires américains nommément désignés constitue un signal opérationnel important ; il convient de le considérer comme le début d'une phase d'opérations d'information ciblées, et non comme un événement isolé.

Nous continuerons à mettre à jour cette chronologie avec les informations les plus récentes au fur et à mesure de l'évolution de la situation.

Pour les clients souhaitant obtenir plus de détails, veuillez contacter votre responsable de la réussite client. Pour les non-clients, veuillez… atteindre ici.

Chronologie et contexte cybernétique du conflit entre les États-Unis, Israël et l'Iran

Les cyberopérations documentées dans ce rapport sont des réponses à trois escalades cinétiques majeures :

Attaques informatiques confirmées et signalées de manière crédible

Cela couvre la période de sept jours allant du 28 avril au 4 mai 2026.

Campagne de menaces via WhatsApp menée par Handala contre des militaires américains à Bahreïn ; 2 379 dossiers de l’USMC publiés sur Telegram (27-28 avril 2026)

• Acteur menaçant : Handala / Manticore du Vide / Tempête-0842 / Chaton Banni / Dune (Iran MOIS) ; personnage aligné sur l'opération MOIS unifiée selon DomainTools (20 avril)
• Cible: Personnel du Corps des Marines des États-Unis à la base navale de Bahreïn ; militaires américains déployés dans la zone d’opérations de la 5e flotte ; résidents civils en Israël recevant des messages identiques à thématique persane
• Type d'attaque : Intimidation ciblée via WhatsApp depuis un numéro commercial bahreïni usurpé ; divulgation de noms et de numéros de téléphone sur une chaîne Telegram ; opération psychologique liée à des capacités revendiquées de surveillance et de ciblage de missiles.

Le lundi 27 avril, des militaires américains basés à la base navale de Bahreïn ont commencé à recevoir des messages WhatsApp signés Handala les avertissant qu'ils étaient sous surveillance et qu'ils seraient la cible de drones Shahed et de missiles Kheibar et Ghadeer. Le journal Stars and Stripes a examiné des messages identiques envoyés à deux militaires à Bahreïn. Ces messages semblaient provenir d'un numéro de téléphone portable bahreïni enregistré au nom d'une entreprise locale légitime, ce qui laisse supposer une usurpation d'identité ou un détournement d'un numéro basé à Bahreïn afin de contourner les filtres anti-étrangers.

Le mardi 28 avril, la même personne a publié sur sa chaîne Telegram publique un message affirmant avoir diffusé les noms et numéros de téléphone de 2 379 Marines américains stationnés dans le Golfe persique, présenté comme un échantillon d'une base de données plus importante. Le message prétendait également que Handala détenait les adresses personnelles, des informations sur les familles, les trajets domicile-travail, les habitudes d'achat et ce qui était décrit comme les activités de loisirs nocturnes des personnes visées. L'analyse de l'échantillon publié par Straight Arrow Médias et actualités a révélé de nombreuses entrées invalides ou incomplètes, notamment des numéros de téléphone incomplets et des numéros de contrats militaires apparemment utilisés à la place des noms. Sur une vingtaine d'appels tests effectués par Straight Arrow à partir de ces données, trois ont abouti à des messages vocaux correspondant à la liste.

Le 27 avril, une même personne a diffusé des messages identiques, à connotation persane, à des civils à travers Israël, selon le Jerusalem Post. Le Commandement central américain a renvoyé les demandes de renseignements de la presse au NCIS, qui n'avait fait aucune déclaration publique à la fin de l'enquête. Plus tôt en avril, le secrétaire à la Marine de l'époque, John Phelan, avait ordonné à tous les marins de verrouiller leurs téléphones et leurs comptes de réseaux sociaux en réponse à une autre campagne de manipulation psychologique menée par un adversaire contre le personnel de la Marine et leurs familles.

Conclusion pour les défenseurs : même si certaines données des Marines sont réutilisées ou extraites de courtiers en données, l’objectif de la campagne est d’affecter la confiance du personnel et de leurs familles, et non de constater un accès non autorisé. Toute communication faisant référence à des données personnelles doit être considérée comme relevant du plan d’hameçonnage basé sur le thème du conflit. Informez l’ensemble du personnel et leurs familles du mode opératoire utilisé sur WhatsApp. Assurez-vous que les recommandations de sécurité relatives aux appareils personnels, issues de l’avis du secrétaire à la Marine, M. Phelan, publié en avril, ont bien été diffusées et prises en compte.

Sources : Stars and Stripes (28 avril 2026) ; SecurityWeek (30 avril) ; Bitdefender (30 avril) ; Straight Arrow Médias et actualités (28 avril) ; blog SOCRadar Handala (28 avril) ; Jerusalem Post (27 avril)

Les référentiels de détection CISA AA26-097A et Unit 42 CL-STA-1128 restent inchangés ; aucun nouvel avis fédéral de cybersécurité n’est prévu dans la période du 28 avril au 4 mai 2026.

• Acteur menaçant : IRGC CEC / CyberAv3ngers / CL-STA-1128 / Storm-0784 / Hydro Kitten / Bauxite
• Cible: Systèmes d'approvisionnement en eau et d'assainissement aux États-Unis ; secteur de l'énergie ; services gouvernementaux ; opérateurs de Rockwell/Allen-Bradley PLC ; plus de 3 000 appareils Rockwell accessibles sur Internet
• Type d'attaque : Exploitation d'automates programmables ; manipulation de fichiers de projet ; manipulation d'affichages IHM/SCADA ; effacement de configuration ; falsification de capteurs mécaniques ; maîtrise des techniques FactoryTalk sur VPS

L'avis conjoint AA26-097A du 7 avril, émis par la CISA, le FBI, la NSA, l'EPA, le DOE et le Cyber ​​Command américain (CNMF) concernant l'exploitation par des acteurs iraniens d'automates programmables Rockwell/Allen-Bradley accessibles sur Internet, demeure la principale directive fédérale en matière de sécurité opérationnelle. Aucun nouvel avis fédéral de cybersécurité n'a été publié au cours des sept jours suivants. L'évaluation du 17 avril de l'Unité 42, selon laquelle l'acteur a installé le logiciel Rockwell FactoryTalk sur une infrastructure VPS pour permettre l'exploitation, reste la principale piste exploratoire.

Les analyses publiques de type Shodan continuent de révéler qu'environ un demi-million d'appareils sont accessibles sur les ports 2222, 502, 44818 et 102 via l'Internet IPv4, dont plus de 3 000 appareils de marque Rockwell, selon l'analyse de la CISA. Le nombre d'appareils exposés n'a pas diminué de manière significative durant cette période.

Recommandations pour les équipes de sécurité : maintenez la sensibilité de détection des automates programmables au maximum. Évitez d’exposer directement à Internet tous les automates programmables et dispositifs OT de Rockwell Automation et Allen-Bradley. Surveillez les ports 44818, 2222, 102, 22 et 502. Recherchez les connexions client FactoryTalk anormales provenant de VPS ou de plages d’adresses IP de cloud commercial. Signalez les sessions Studio 5000 Logix Designer provenant de réseaux autres que ceux des postes de travail d’ingénierie. Vérifiez l’intégrité des fichiers de projet et de la logique du contrôleur. Signalez toute compromission suspectée à la CISA et à l’équipe PSIRT de Rockwell.

Sources : CISA AA26-097A (7 avril 2026) ; Unité 42 CL-STA-1128 (17 avril) ; Avis conjoint de l’EPA (7 avril) ; Cybersécurité Dive ; Crowell

La coupure d'Internet en Iran entre dans son 66e jour ; plus de 1 584 heures ; la priorité à la recherche de liaisons VSAT est maintenue (4 mai 2026)

• Acteur menaçant : Appareil de télécommunications du gouvernement iranien ; Conseil suprême de sécurité nationale
• Cible: Population civile iranienne (environ 90 millions) ; posture de chasse aux VSAT des défenseurs
• Type d'attaque : Coupure quasi totale d'Internet, réduisant la connectivité à environ 1 % de celle d'avant-guerre ; application de la liste blanche du Réseau national d'information ; Internet international stable à plusieurs niveaux, réservé aux acteurs commerciaux agréés ; passage des acteurs étatiques iraniens à une infrastructure VSAT

La coupure d'Internet a atteint son 66e jour consécutif le 4 mai, avec une connectivité réduite à environ 1 % du niveau d'avant-guerre, dépassant ainsi 1 584 heures d'interruption. L'Iran continue de restreindre l'accès national à la liste blanche du Réseau national d'information. La politique d'accès à Internet stable à l'échelle internationale, approuvée les 21 et 22 avril par le Conseil suprême de sécurité nationale, reste en vigueur, accordant une connectivité sélective aux détenteurs de cartes commerciales tandis que le reste de la population demeure déconnecté.

L'évaluation très fiable du 17 avril de l'Unité 42, selon laquelle des groupes iraniens soutenus par l'État ont basculé vers les services VSAT via Starlink et d'autres fournisseurs, demeure la caractérisation publique de référence de la connectivité des acteurs étatiques. La mise en place d'un système commercial à plusieurs niveaux ne remet pas en cause la priorité accordée à la recherche de services VSAT. La possession de terminaux Starlink reste passible de peines capitales en vertu de la législation iranienne de 2026. Les opérateurs de proxy MOIS basés à l'étranger et l'écosystème hacktiviste distribué continuent d'opérer sans contrainte majeure liée à la coupure d'électricité nationale, comme en témoigne l'activité de Handala pendant cette période.

Recommandations pour les équipes de sécurité : rechercher les connexions sortantes anormales entre les réseaux adjacents à l’infrastructure et les plages d’adresses IP des satellites commerciaux. Vérifier que les voies d’accès administratives n’autorisent pas les liaisons montantes par satellite non autorisées. Examiner les accords d’accès à distance des fournisseurs et des sous-traitants concernant l’utilisation des liaisons VSAT.

Sources : NetBlocks ; Unité 42 (17 avril 2026) ; CNRI ; Iran Médias et actualités Update

Pour les clients souhaitant obtenir plus de détails, veuillez contacter votre responsable de la réussite client. Pour les non-clients, veuillez… atteindre ici.

Résumés des principaux acteurs menaçants

Avis gouvernementaux pertinents

Aucun nouvel avis fédéral de cybersécurité n'a été publié au cours des sept derniers jours. Les directives ci-dessous restent en vigueur :

Pour les avis historiques, veuillez contacter votre responsable de la réussite client si vous êtes client, et atteindre ici si vous n'êtes pas client.

Évaluation et perspectives

Le conflit entre dans son 66e jour. L'évaluation suivante tient compte de l'évolution de la situation cybernétique au cours des sept derniers jours.

Menace cybernétique à court terme (1 à 4 semaines) : CRITIQUE ET ÉLEVÉE

Au cours des sept jours précédents, une seule cyberopération a été attribuée à cette affaire : la campagne de menaces via WhatsApp « Handala » contre des militaires américains basés à la base navale de Bahreïn, les 27 et 28 avril, accompagnée d’une publication sur une chaîne Telegram révélant les noms et numéros de téléphone de 2 379 Marines américains stationnés dans le Golfe persique. Des messages identiques, à connotation persane, ont été envoyés à des civils en Israël le même jour. Le véritable signal est le passage de cibles institutionnelles à l’intimidation directe de militaires américains et de leurs familles.

Le tableau des cybermenaces reste régi par les seuils de détection établis début avril : attribution unifiée MOIS de DomainTools, CISA AA26-097A, Unit 42 CL-STA-1128, Check Point Void Manticore et FBI FLASH-20260320-001. Le rythme des attaques DDoS menées par des hacktivistes se maintient au niveau observé après le 18 avril. La coupure d'Internet en Iran au 66e jour confirme le basculement opérationnel des VSAT pour les infrastructures étatiques. La campagne de Bahreïn corrobore la thèse d'Halcyon selon laquelle les périodes d'accalmie précédentes reflétaient une exécution clandestine plutôt qu'une inactivité. La probabilité de représailles iraniennes contre les infrastructures critiques américaines, les organisations figurant sur la liste des 18 cibles du Corps des gardiens de la révolution islamique (CGRI), les secteurs israélien de la défense et des télécommunications, les portails des gouvernements du Golfe et les fournisseurs proches du MSC demeure élevée. La campagne de Bahreïn accroît également la probabilité que les opérations d'information ciblant le personnel s'étendent des effectifs de l'US Navy et du Corps des Marines aux autres branches des forces armées et aux employés des entreprises de défense occupant des postes classifiés ou liés aux infrastructures critiques.

Cibles cyber prioritaires (mise à jour pour Windows)

• Personnel militaire américain et personnes à charge dans la zone de responsabilité du CENTCOM (CRITIQUE, NOUVEAU DANS LA FENÊTRE) : La campagne menée à Bahreïn instaure un système d'intimidation par appareils personnels. Elle devrait s'étendre à d'autres branches et aux familles. Les données personnelles publiées pourraient être en partie réutilisées, mais l'objectif opérationnel est d'exercer une pression psychologique sur les individus.
• Infrastructures critiques américaines avec automates programmables Rockwell et dispositifs OT connectés à Internet (CRITIQUE, SOUTENUE) : La norme CISA AA26-097A reste en vigueur. La méthode de détection FactoryTalk-on-VPS de l'unité 42 CL-STA-1128 demeure active. Plus de 3 000 équipements Rockwell restent vulnérables.
• Défense, télécommunications et gouvernement israéliens (CRITIQUE, SOUTENU) : Opération MOIS unifiée visant à contrôler le poids subi par ce niveau. Aucune nouvelle réclamation pendant la période de traitement.
• Infrastructure numérique des États du Golfe (CRITIQUE, DURABLE) : L'allégation non vérifiée de Handala concernant Dubaï date de plus de 528 heures. Les équipes 313, DieNet et Keymous Plus sont actives contre les portails des Émirats arabes unis, de Bahreïn, du Koweït, du Qatar et d'Arabie saoudite.

Chez Flare, nous continuerons de suivre ce conflit et de mettre à jour cet article au fur et à mesure que nous obtiendrons plus d'informations.