L’entreprise de sécurité informatique américaine Symantec affirme, dans une étude publiée ce 25 juillet, avoir découvert un nouveau groupe de pirates informatiques ayant visé toute une série d’Etats et d’entreprises, et baptisé Leafminer. Le groupe, dont les activités ont été observées sur plusieurs mois, se concentre spécifiquement sur des cibles situées au Moyen-Orient.

Leafminer s’est plus particulièrement intéressé à des services étatiques et à des entreprises de secteurs clés, dont l’énergie et la pétrochimie, les transports et la finance. Les réseaux informatiques visés étaient situés avant tout en Arabie saoudite, mais aussi au Liban, en Israël ou au Koweït. Ces choix de cibles, ainsi qu’un document obtenu par Symantec et listant plus de 800 entreprises et services publics, écrit en farsi, laissent supposer que le groupe est installé en Iran.

« Le groupe semble être basé en Iran, et se montre prêt à apprendre d’autres groupes, ainsi qu’à utiliser leurs découvertes », écrit Symantec. L’entreprise a pu observer que Leafminer utilisait volontiers, et très rapidement, des failles de sécurité récemment rendues publiques. Il s’est ainsi servi du Fuzzbunch framework, un outil de la NSA américaine publié par l’énigmatique groupe Shadowbrokers, peu de temps après qu’il ait été rendu accessible.

« Cet empressement à apprendre et à utiliser des outils créés par d’autres laisse supposer un certain manque d’expérience de la part du groupe, une conclusion renforcée par sa faible sécurité opérationnelle », écrit Symantec. L’entreprise a découvert au cours de ses recherches un serveur utilisé par Leafminer qui était mal configuré, et était « publiquement accessible, exposant l’intégralité de l’arsenal utilisé par le groupe ».