Alerte CISA : Des acteurs affiliés à l'Iran ciblent des automates programmables américains
Les agences américaines ont émis une alerte concernant une campagne active menée par des acteurs affiliés à l'Iran ciblant des automates programmables (API) dans l'infrastructure critique américaine.
Les agences gouvernementales américaines, dont le FBI, la CISA et la NSA, ont lancé une alerte commune le 7 avril 2026, détaillant une campagne en cours menée par des acteurs persistants avancés (APT) affiliés à l'Iran ciblant des automates programmables (API) exposés sur Internet. Les acteurs se concentrent principalement sur les appareils Rockwell Automation, mais semblent également cibler des systèmes Siemens et compatibles Modbus, affectant des secteurs tels que les services gouvernementaux américains, les systèmes d'eau et d'eaux usées (WWS) et l'énergie.
Picus Security, une entreprise de cybersécurité, a analysé les tactiques, techniques et procédures (TTP) associées à cette campagne. L'activité, confirmée depuis au moins mars 2026, implique la manipulation de fichiers de projet d'API, la modification des interfaces homme-machine (IHM) et des écrans SCADA, et dans certains cas, a entraîné des perturbations opérationnelles et des pertes financières. La motivation est évaluée comme étant des représailles géopolitiques liées aux hostilités entre les États-Unis et l'Iran.
Cette campagne représente une escalade par rapport aux opérations précédentes, notamment la campagne CyberAv3ngers de novembre 2023. Alors que l'attaque précédente utilisait des identifiants par défaut contre des API Unitronics, les acteurs actuels emploient des logiciels d'ingénierie légitimes, tels que Studio 5000 Logix Designer de Rockwell, pour obtenir un accès. Cette approche sophistiquée rend l'activité malveillante plus difficile à distinguer des actions administratives autorisées. Les acteurs ont également été observés déployant Dropbear SSH pour un accès à distance persistant.
En outre, la CISA a récemment ajouté une vulnérabilité (CVE-2021-22681) liée à Studio 5000 Logix Designer et aux API de Rockwell à son catalogue des vulnérabilités connues et exploitées en mars 2026. Cela confirme que les contrôleurs Rockwell sont activement exploités. Picus Security propose sa plateforme pour aider les organisations à simuler les nouvelles menaces et à valider leurs défenses contre de telles attaques sophistiquées.