Olympische Winterspelen: vermijd oplichtingen en andere cyberdreigingen die eraan gelinkt zijn, door ESET

Aanstaande vrijdag, 6 februari, gaan de Olympische Winterspelen van start in Milaan-Cortina. Maar al jaren proberen cybercriminelen te profiteren van de Olympische Spelen. Zo tierden nep-ticketwebsites welig tijdens de Zomerspelen van 2008 in Peking. Sindsdien hebben zelfs enkele, aan staten gelieerde, cybercriminelen zich ermee bemoeid en de Spelen van 2018 in Pyeongchang verstoord met wiper-malware die wifi-hotspots en tv-uitzendingen uitschakelde en de back-endservers van de officiële app van de Spelen lamlegde. Ook hacktivists zijn nooit ver weg en zien een perfecte gelegenheid om aandacht te vragen voor hun zaak. Maar terwijl de wereld zich voorbereidt op Milaan-Cortina 2026, zijn er verschillende bedreigingen waar sportfans rekening mee moeten houden in de dagen die aan het evenement voorafgaan en tijdens de 16 dagen van de spelen. Hier volgen 10 vaak voorkomende bedreigingen.

Phishingpogingen: meestal proberen ze u te verleiden om uw persoonlijke en financiële gegevens te gebruiken of om op schadelijke links/bijlagen te klikken, met een stille installatie van malware. Voorbeelden zijn links naar gratis streamingdiensten, speciale prijsvragen en 'laatste kans-aanbiedingen', kaartjes voor wedstrijden, geannuleerde tickets of betalingsproblemen.

Olympische sites: sommige webshops die beweren officiële tickets, reizen en logies te verkopen, lijken misschien betrouwbaar, maar zijn enkel uit op uw geld en/of creditcardgegevens. In sommige gevallen plaatsen oplichters ook nepadvertenties op legitieme websites en marktplaatsen, zoals Airbnb, eBay en Facebook Marketplace.

Gratis en illegale streamingsites: sommige sites bieden fans gratis toegang tot video-content van de wedstrijden, maar kunnen een broeinest zijn voor malware, verborgen in links, plug-ins en bestanden. Ze zitten vol met overlay-advertenties die vaak meer zijn dan een kleine ergernis. Als u erop klikt, word u doorgestuurd naar een kwaadaardige website of download u onbewust malware.

Fake apps: mobiele apps die zich voordoen als officiële apps kunnen malware bevatten die gegevens steelt of andere bedreigingen veroorzaken. Deze apps vindt men vooral in appwinkels van derden.

SEO-vergiftiging: oplichters kopen gesponsorde advertenties of gebruiken SEO-technieken om hun kwaadaardige websites bovenaan de zoekresultaten te krijgen. Ze kunnen drive-by downloads initiëren of proberen uw persoonlijke gegevens te bemachtigen.

Oplichting via klantenservice: als u op sociale media klaagt over een probleem met uw vlucht/hotel/tickets, kunnen oplichters zich voordoen als de 'officiële klantenservice'. Ze helpen u niet, ze willen slechts uw persoonlijke, financiële en boekingsgegevens.

Nepvacatures: kijk uit voor valse aanbiedingen om als vrijwilliger of betaalde medewerker on tijdens de Spelen aan de slag te gaan. Deze aanbiedingen zijn er om uw persoonlijke gegevens te verzamelen of u te verleiden om op voorhand een 'vergoeding' te betalen voor de verwerking van uw gegevens.

Oplichting met AI: fraudeurs maken steeds meer gebruik van AI-gestuurde tools en diensten om hun kans op succes te vergroten. Ze genereren phishingwebsites en -berichten in perfecte lokale talen. Ze creëren realistische audio- en videofragmenten, ontworpen om u te beïnvloeden. Let op voor deepfake-video's van atleten die donaties proberen te werven voor nep-goede doelen of 'trainingsfondsen'.

QR-code phishing: let op voor pogingen tot phishing. QR-codes die worden getoond, kunnen naar phishingwebsites leiden en het downloaden van malware. Het is een populaire tactiek die fysieke en digitale bedreigingen combineert om uw betaalgegevens of persoonlijke informatie te stelen. Het is een efficiënte tactiek omdat het minder argwaan wekt dan phishing-URL's. Mobiele toestellen zijn vaak minder goed beveiligd dan laptops en desktops, waardoor de kans op succes groter is.

Openbare wifi: als u tijdens het evenement rondloopt, pas dan op voor nep- en namaak-wifi-hotspots die bedoeld zijn om uw persoonlijke gegevens te stelen.

Om online veilig te blijven, bezoek de officiële websites van de Winterspelen en ga niet in op ongevraagde berichten en aanbiedingen die te mooi lijken om waar te zijn. Koop enkel tickets via

https://tickets.milanocortina2026.org/ of https://hospitality.milanocortina2026.org/ , de organisatoren hebben geen toestemming gegeven voor de wederverkoop via websites van derden. Koop merchandise via de officiële website shop.olympics.com. Gebruik legale streamingdiensten en bezoek enkel websites gehost door de officiële organisatoren zoals NBC Universal (US), BBC (UK), Warner Bros Discovery (Europa).

Vertrouw nooit aanbiedingen die te mooi lijken om waar te zijn in ongevraagde berichten. Klik niet op links en bijlagen in ongevraagde berichten, zelfs niet als ze afkomstig lijken van legitieme organisatoren/sponsors van de Winterspelen. Controleer advertenties op verdachte signalen, zelfs op legitieme websites. Bekijk recensies, gebruik steeds de officiële berichtenfunctie in de app en geef de voorkeur aan verkopers met een 'geverifieerd'-badge. Als je naar een wedstrijd gaat, download dan de officiële Olympische app voor schema's, plattegronden en digitale tickets.

Vermijd, waar mogelijk, openbare wifi of gebruik, als dat kan, een VPN. Moet u toch een hotspot gebruiken, log dan niet in met belangrijke accounts zoals uw e-mail  of internetbankgegevens. Scan geen QR-codes tijdens het event of deze in e-mails. Installeer betrouwbare antivirussoftware op uw toestel om het risico te beperken op quishing (contractie van "QR code" en "phishing"), smishing (valse sms om te misleiden en gegevens te ontfutselen) en phishing via e-mail.

Onthoud dat de organisatoren van de Spelen nooit geld vragen voor vrijwilligerswerk of een job. Officiële websites voor vrijwilligerswerk zijn te vinden op https://team26.milanocortina2026.org/ en op https://milanocortina2026.intervieweb.it/en/career, voor betaalde jobs.

De XXVste Olympische Winterspelen in Cortina beloven super te zijn voor sportliefhebbers. Maar ook digitale oplichters zullen er zijn. Geniet ervan en blijf veilig.

Une pente glissante : les  arnaques et autres cybermenaces liées aux Jeux olympiques d'hiver, par ESET

C’est ce vendredi 6 février que le coup d’envoi des festivités des Jeux d’hiver Milan-Cortina sera donné. Mais, les cybercriminels n’ont pas attendu pour chercher à tirer profit des Jeux olympiques et, depuis ceux de Pékin en 2008, les faux sites de billetterie ont proliféré. Certains acteurs malveillants, liés à des États, ont perturbé les Jeux de Pyeongchang en 2018 à l’aide d’un maliciel de type « wiper », qui a coupé les points d’accès Wi-Fi et les flux TV, et paralysé les serveurs de l’appli officielle des Jeux. Les hacktivistes non plus ne sont jamais bien loin, guettant la moindre occasion de faire connaître leur cause. Mais alors que le monde se prépare pour Cortina 2026, dans les jours précédant l’événement et pendant les 16 jours de compétition, les amateurs de sport sont menacés de diverses façons.

Voici les 10 arnaques les plus utilisées.

Hameçonnage : généralement, les escrocs cherchent à vous inciter à introduire vos informations personnelles et financières ou à cliquer sur des liens malveillants ou des pièces jointes qui installent silencieusement des maliciels (liens de streaming gratuits ; tirages au sort avec prix spéciaux et « offres de dernière minute », comme des billets pour des événements sportifs ; alertes concernant des billets annulés ou des problèmes de paiement).

Sites Olympics : certains sites d’e-commerce prétendant vendre des billets, des voyages et de l’hébergement officiels peuvent sembler crédibles. Ils ne cherchent qu’à soutirer de l’argent et/ou des informations bancaires. Parfois, les escrocs publient aussi de fausses annonces sur des sites et plateformes légitimes, comme Airbnb, eBay et Facebook Marketplace.

Sites de streaming gratuits et illégaux : certains sites offrent un accès gratuit aux vidéos des matchs. Mais ceux-ci peuvent aussi être des nids à maliciels, dissimulés dans des liens, des plugins et des fichiers. Ils regorgent de publicités superposées aux vidéos, qui peuvent rediriger vers un site malveillant ou déclencher le téléchargement d’un maliciel.

Fausses applis : des applis mobiles se faisant passer pour des applis officielles des Jeux peuvent contenir des maliciels de vol de données ou d’autres menaces. Ces applis se trouvent principalement sur diverses plateformes tierces de téléchargement d’applications.

Empoisonnement SEO : des escrocs paient pour des publicités sponsorisées ou utilisent des techniques de référencement afin de placer leurs sites web malveillants en tête des résultats de recherche. Ils déclenchent des téléchargements furtifs ou tentent de s’emparer d’informations personnelles.

Arnaques au faux support : si vous vous plaignez sur les réseaux sociaux d’un problème avec votre vol, votre hôtel ou votre billet, des fraudeurs peuvent intervenir en se faisant passer pour le « support officiel ». Ils n’aident pas : ils ne veulent que vos informations personnelles, financières et de réservation.

Arnaques à l’emploi : méfiez-vous des fausses offres d’emploi pour les Jeux, comme bénévole ou salarié. Elles visent à collecter vos informations personnelles ou à vous soutirer de l’argent en vous demandant de payer à l’avance des « frais » pour le traitement de votre candidature.

Arnaques utilisant l’IA : les fraudeurs ont de plus en plus recours à des outils et services basés sur l’IA pour accroître leurs chances de succès. Ils génèrent des sites et des messages d’hameçonnage dans des langues locales impeccables. Ils créent également des contenus audio et vidéo réalistes conçus pour influencer vos décisions. Méfiez-vous des vidéos deepfakes d’athlètes connus cherchant à obtenir des dons pour de fausses œuvres caritatives ou de faux « fonds d’entraînement ».

Hameçonnage par code QR : lors d’un événement, soyez vigilant face aux tentatives d’hameçonnage. Les codes QR affichés peuvent rediriger vers des sites frauduleux et permettre le téléchargement de maliciels. Cette technique, combinant menaces physiques et numériques, est utilisée pour dérober des informations bancaires ou personnelles et suscite moins de méfiance que les URL d’hameçonnage. Les appareils mobiles étant souvent moins bien protégés que les ordinateurs portables et de bureau, les risques de succès sont plus élevés.

Wi-Fi public : si vous vous déplacez pendant l’événement, méfiez-vous des faux points d’accès et de leurs imitations, conçus uniquement pour capturer vos informations personnelles et financières.

Pour rester en sécurité en ligne, consultez uniquement les sites officiels des Jeux et ne répondez pas aux messages non sollicités ni aux offres « trop belles pour être vraies ». Achetez uniquement des billets sur https://tickets.milanocortina2026.org/ ou https://hospitality.milanocortina2026.org/ : les organisateurs n’ont autorisé aucune revente de billets sur des sites tiers. Pour le merchandising, visitez uniquement le site officiel shop.olympics.com. Évitez les services de streaming illégaux et consultez uniquement les diffuseurs officiels tels que NBCUniversal (États-Unis), BBC (Royaume-Uni) et Warner Bros. Discovery (Europe).

Ne vous fiez jamais aux offres « trop belles pour être vraies » reçues par message non sollicité. Ne cliquez pas sur les liens ou les pièces jointes, même s’ils semblent provenir des organisateurs ou des sponsors officiels des Jeux. Repérez les annonces suspectes, y compris sur des sites légitimes. Vérifiez les avis, utilisez toujours la messagerie officielle intégrée à la plateforme et privilégiez les vendeurs disposant d’un badge « vérifié » ou équivalent. Si vous assistez à un événement, téléchargez l’appli officielle des Jeux pour consulter les horaires, les plans et gérer vos billets numériques.

Évitez, si possible, les réseaux Wi-Fi publics et utilisez de préférence un VPN. Si vous devez utiliser un point d’accès public, ne vous connectez pas à des comptes sensibles comme votre messagerie ou votre banque en ligne. Évitez de scanner des codes QR, en particulier ceux reçus par e-mail. Installez un logiciel antimalware provenant d’un fournisseur réputé afin de limiter les risques de quishing (contraction de « QR code » et « phishing »), de smishing (SMS frauduleux incitant à révéler des données) et d’hameçonnage par e-mail.Sachez également que, pour faire du bénévolat ou travailler sur place, les organisateurs des Jeux ne demandent jamais d’argent. Vous trouverez les sites officiels de bénévolat sur https://team26.milanocortina2026.org/ et les offres d’emplois rémunérés sur https://milanocortina2026.intervieweb.it/en/career.

Les XXVᵉ Jeux olympiques d’hiver de Cortina d’Ampezzo promettent d’être spectaculaires. Mais les escrocs en ligne seront également à l’affût. Amusez-vous, mais restez prudents.

ESET ‘Choix des clients’ pour la protection des terminaux, selon Gartner® Peer Insights™

BRATISLAVA, le 9 février 2026 — ESET, un leader mondial en cybersécurité, est fier d'avoir été reconnu « Choix des clients » dans le rapport Gartner® Peer Insights™ Voice of the Customer 2026¹, catégorie plateformes de protection des terminaux. Parmi les 18 fournisseurs évalués, ESET figure dans les cinq à recevoir cette distinction, grâce à ses performances en matière d'intérêt et d'adoption par les utilisateurs (axe des abscisses) et d'expérience globale (axe des ordonnées) (a Customers’ Choice in the 2026 Gartner® Peer Insights™ Voice of the Customer report¹ for Endpoint Protection Platforms).

Selon le rapport, 99 % des évaluations du Gartner Peer Insights concernant ESET indiquent soit une note de 5 étoiles (78 %), ou 4 étoiles (21 %). Au 30 novembre 2025, les clients d’ESET ont attribué une note globale de 4,8 sur 5, et 96 % d'entre eux se disent prêts à recommander l’entreprise. L'expérience en matière d'assistance d’ESET a obtenu la note de 4,8 sur 5, les clients évaluaient aussi les fonctionnalités des produits, l'expérience commerciale et l'expérience de l’implémentation.

Zuzana Legáthová, directrice de l'intelligence des marchés et des relations avec les analystes chez ESET, a déclaré : « Être reconnus comme Choix des clients par Gartner Peer Insights est extrêmement important pour nous, car cette reconnaissance émane directement des organisations et des professionnels de l'informatique qui utilisent chaque jour nos technologies. La confiance de nos clients est la base de toutes nos actions. Leurs retours confirment notre engagement à fournir une plateforme de cybersécurité axée sur la prévention et pilotée par l'IA. Cela renforce la sécurité, mais a aussi un impact commercial mesurable, permettant aux organisations de travailler avec confiance et résilience dans un monde où les menaces sont toujours plus complexes. »

Le rapport “Voice of the Customer” compile les avis et évaluations des utilisateurs sur une période de 18 mois s’achevant le 30 novembre 2025 et offrant un important aperçu de l’expérience des clients avec les fournisseurs de cybersécurité. La reconnaissance d’ESET repose sur les avis de 134 utilisateurs professionnels vérifiés, et ESET est convaincue qu’ils reflètent leur expérience directe de l’utilisation de la plateforme ESET PROTECT.

ESET PROTECT est une plateforme de cybersécurité complète, conçue pour répondre aux besoins évolutifs des organisations d’aujourd‘hui. Solution de cybersécurité XDR privilégiant le cloud, elle combine des technologies de nouvelle génération, natives de l'IA, pour la prévention, la détection et la chasse proactive aux menaces, afin de garantir la sécurité des entreprises. Résultat de plusieurs décennies d'expertise et d'innovation constante, elle offre une sécurité axée sur la prévention, intégrant des technologies et des services avancés dans une solution unique et évolutive.

Découvrez la plateforme ESET PROTECT (ESET PROTECT Platform). Pour en savoir plus sur les récompenses et l’excellence reconnue d’ESET, cliquez ici.

¹Source: Gartner, Inc. Voice of the Customer for Endpoint Protection Platforms. Peer Contributors. 23 janvier 2026.

GARTNER est une marque déposée de Gartner, Inc. et/ou de ses filiales aux USA et à l'international. PEER INSIGHTS est une marque déposée de Gartner, Inc. et/ou de ses filiales. Ces marques sont utilisées ici avec leur autorisation. Tous droits réservés. Le contenu Gartner® Peer Insights™ reflète l'opinion d'utilisateurs individuels, fondée sur leur propre expérience, et ne doit pas être interprété comme un fait établi. Il ne représente en aucun cas les points de vue de Gartner ou de ses filiales. Gartner ne cautionne aucun fournisseur, produit ou service mentionné dans ici et n'offre aucune garantie, explicite ou implicite, quant à son exactitude ou son exhaustivité, y compris toute garantie de qualité marchande ou d'adéquation à un usage particulier.

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation facile. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/  ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/

 

ESET is ‘Customers’ Choice’ voor endpoint-beveiliging in Gartner® Peer Insights™ 2026

 

BRATISLAVA, 9 februari 2026 — ESET, een leider in cybersecurity op wereldvlak, is er trots op om erkend te worden als een Customers’ Choice in het 2026 Gartner® Peer Insights™ Voice of the Customer report¹ for Endpoint Protection Platforms¹. Van de 18 beoordeelde leveranciers behoort ESET tot de vijf die deze onderscheiding hebben ontvangen, op basis van de prestaties op gebied van zowel gebruikersinteresse en -adoptie (x-as) als de algehele ervaring (y-as).

Volgens het rapport gaf 99% van de Gartner Peer Insights-reviews aan ESET een beoordeling van 5 sterren (78%), of 4 sterren (21%). Over het algemeen hebben de klanten ESET een beoordeling van 4,8 op 5 gegeven (op 30 november 2025), waarbij 96% aangaf het bedrijf te zullen aanbevelen. De ESET-support kreeg een score van 4,8 op 5, terwijl de klanten ook de productmogelijkheden, de verkoopervaring en de implementatie-ervaring van het bedrijf beoordeelden.

Zuzana Legáthová, Director of Market Intelligence and Analyst Relations bij ESET, verklaarde: “Erkend worden als ‘Customers’ Choice’ door Gartner Peer Insights is voor ons van groot belang omdat dit rechtstreeks van organisaties en IT-professionals komt, die dagelijks op onze technologieën vertrouwen. Het vertrouwen van onze klanten staat centraal in alles wat we doen. Hun feedback bevestigt onze toewijding om een preventief, AI-gestuurd cybersecurityplatform te bieden dat niet alleen de beveiliging versterkt, maar ook meetbare zakelijke impact genereert, zodat organisaties met vertrouwen en veerkracht kunnen werken in een steeds complexer wordend dreigingslandschap.”

Het rapport "Voice of the Customer" bundelt beoordelingen en ratings van gebruikers over een periode van 18 maanden, (tot 30 november 2025), en biedt waardevolle inzichten in de ervaringen van klanten met cybersecurityleveranciers. De erkenning van ESET is gebaseerd op beoordelingen van 134 geverifieerde eindgebruikers en ESET is van mening dat deze hun directe ervaring met het ESET PROTECT Platform weergeeft.

ESET PROTECT is een uitgebreid cybersecurityplatform dat ontworpen is om te beantwoorden aan de veranderende behoeften van hedendaagse organisaties. ESET’s cloud-gebaseerde XDR-cybersecurityoplossing combineert AI-native, geavanceerde preventie, detectie en proactieve dreigingsopsporing om bedrijven te beschermen. Ontwikkeld met decennialange expertise en constante innovatie, biedt het een preventiegerichte benadering van beveiliging, waarbij geavanceerde technologieën en beveiligingsdiensten in één schaalbare oplossing geïntegreerd worden.

Ontdek meer over het ESET PROTECT Platform. Klik hier voor meer informatie over de behaalde prijzen en de erkende uitmuntendheid van ESET.

¹ Bron: Gartner, Inc. Voice of the Customer for Endpoint Protection Platforms. Peer Contributors. 23 januari 2026.

GARTNER is een geregistreerd handels- en dienstmerk van Gartner, Inc. en/of haar dochterondernemingen in de VS en internationaal, en PEER INSIGHTS is een geregistreerd handelsmerk van Gartner, Inc. en/of haar dochterondernemingen en wordt hier met toestemming gebruikt. Alle rechten voorbehouden. De inhoud van Gartner® Peer Insights™ bestaat uit de meningen van individuele eindgebruikers op basis van hun eigen ervaringen en mag niet worden opgevat als feitelijke verklaringen, noch zijn deze de standpunten van Gartner of haar dochterondernemingen. Gartner onderschrijft geen enkele leverancier, product of dienst die in dit bericht wordt vermeld en geeft geen enkele garantie, expliciet noch impliciet, met betrekking tot deze inhoud, over de nauwkeurigheid of volledigheid ervan, inclusief garanties van verkoopbaarheid of geschiktheid voor een bepaald doel.

ESET® biedt geavanceerde cybersecurity om aanvallen te voorkomen nog voor deze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET opkomende wereldwijde cyberbedreigingen voor, zowel bekende als onbekende, en beveiligt het bedrijven, kritieke infrastructuur en individuen. Of het nu gaat het om endpoint-, cloud- of mobiele beveiliging, zijn ESET’s AI-native, cloud-first oplossingen en services zeer efficiënt en gebruiksvriendelijk. ESET-technologie omvat robuuste detectie en respons, ultraveilige encryptie en multi-factor authenticatie. Met 24/7 real-time verdediging en sterke lokale ondersteuning houdt ESET de gebruikers veilig en bedrijven draaiende en dit zonder onderbreking. Het constant veranderende digitale landschap vraagt om een progressieve benadering van de beveiliging. ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

L’iranien MuddyWater se fait passer pour Snake et vise des infrastructures en Israël et en Égypte - ESET Research

 

●      ESET Research a identifié de nouvelles activités de MuddyWater (groupe de cyberespionnage lié à l'Iran) ciblant des organisations d'infrastructures critiques en Israël et une cible confirmée en Égypte

●      Le groupe a utilisé des techniques plus avancées pour déployer MuddyViper, une nouvelle porte dérobée, grâce à un chargeur (Fooder) qui la charge en mémoire et l'exécute.

●      ESET fournit des analyses techniques des outils utilisés dans cette campagne.

     MONTREAL, BRATISLAVA, le 2 décembre 2025 — ESET Research a identifié une nouvelle activité de MuddyWater ciblant principalement des organisations en Israël, avec une cible confirmée en Égypte. En Israel, les victimes appartiennent aux secteurs de la technologie, de l'ingénierie, de la production, des collectivités locales et de l'éducation. MuddyWater, aussi appelé Mango Sandstorm ou TA450, est un groupe de cyberespionnage lié à l'Iran, connu pour ses attaques répétées contre les secteurs gouvernementaux et les infrastructures critiques. Il utilise souvent des maliciels personnalisés et des outils publics, et a des liens avec le ministère iranien du Renseignement et la Sécurité nationale. Dans cette campagne, les attaquants ont déployé un série d'outils personnalisés, encore non documentés, pour mieux contourner les défenses. La nouvelle porte dérobée MuddyViper leur permet de collecter des informations système, d'exécuter des fichiers et des commandes shell, de transférer des fichiers et d'exfiltrer les identifiants de connexion Windows ainsi que les données de navigation. La campagne utilise aussi d'autres voleurs d'identifiants, dont Fooder, un chargeur personnalisé qui se fait passer pour le jeu Snake.

      Dans cette campagne, l'accès initial s’obtient par le biais de mails d'hameçonnage ciblés, contenant souvent des pièces jointes PDF renvoyant vers des programmes d'installation de logiciels de surveillance et de gestion à distance (RMM) hébergés sur des plateformes de partage de fichiers gratuites telles que OneHub, Egnyte ou Mega. Ces liens permettent de télécharger des outils comme Atera, Level, PDQ et SimpleHelp. Parmi les outils utilisés par les opérateurs de MuddyWater il y a la porte dérobée VAX One, qui fait référence aux logiciels légitimes qu'elle imite : Veeam, AnyDesk, Xerox et le service de mise à jour OneDrive.

    L’utilisation de ce mode opératoire rend l’activité du groupe assez facile à détecter et à bloquer. Mais, dans le cas présent, le groupe a utilisé des techniques plus avancées pour déployer MuddyViper, une nouvelle porte dérobée, grâce à un chargeur (Fooder) qui charge MuddyViper en mémoire et l'exécute. Plusieurs versions de Fooder se font passer pour le jeu Snake, d'où le nom MuddyViper. Une autre caractéristique de Fooder est l’utilisation fréquente d'une fonction de délai personnalisée qui implémente la logique de base du jeu Snake, combinée à des appels à l'API « Sleep ». Ces fonctions retardent l'exécution pour dissimuler les comportements malveillants aux systèmes d'analyse automatisés. De plus, les développeurs de MuddyWater ont adopté CNG, l'API cryptographique Windows de nouvelle génération, chose unique pour des groupes liés à l'Iran et assez atypique dans le paysage actuel des menaces. Durant cette campagne, les opérateurs ont délibérément évité les sessions interactives directes au clavier. Même si certains éléments restent bruyants et facilement détectables, souvent le cas pour MuddyWater, cette campagne illustre une évolution technique : une précision accrue, un ciblage stratégique et une série d'outils plus avancée.

     L'ensemble d'outils post-compromission comprend plusieurs voleurs d'identifiants : CE-Notes, qui cible les navigateurs basés Chromium ; LP-Notes, qui prépare et vérifie les identifiants volés ; Blub, qui vole les données de connexion des navigateurs Chrome, Edge, Firefox et Opera.

    En 2017, MuddyWater a été présenté au public par Unit 42, dont la description de l'activité du groupe concorde avec le profilage d'ESET : centrage sur le cyberespionnage, utilisation de documents malveillants comme pièces jointes conçues pour inciter les utilisateurs à activer les macros et à contourner les contrôles de sécurité, et ciblant principalement des entités situées au Moyen-Orient.

    Parmi les activités passées importantes, il y a l’Opération Quicksand (2020), une campagne de cyberespionnage visant des entités gouvernementales israéliennes et des organisations de télécommunications, illustrant l’évolution des tactiques de phishing de base vers des opérations plus avancées et à plusieurs étapes ; une campagne visant des groupes et organisations politiques en Turquie. Ceci démontre l’orientation géopolitique du groupe, sa capacité à adapter les tactiques d’ingénierie sociale aux contextes locaux et sa dépendance aux maliciels modulaires ainsi qu’à une infrastructure C&C flexible.

      ESET a documenté plusieurs campagnes attribuées à MuddyWater, soulignant l'évolution des outils et des priorités opérationnelles du groupe. En mars et avril 2023, MuddyWater a ciblé une victime non identifiée en Arabie saoudite. Le groupe a mené une campagne en janvier et février 2025 caractérisée par une grande similitude opérationnelle avec Lyceum (un sous-groupe d'OilRig). Cela fait penser que MuddyWater pourrait être un intermédiaire pour d'autres groupes liés à l'Iran.

      Pour une analyse plus détaillée de la récente campagne MuddysWater, lisez le nouveau blog d’ESET Research “MuddyWater: Snakes by the riverbank” sur www.welivesecuyruty.com/  Suivez aussi  ESET Rerserach sur Twitter (today known as X), BlueSky et Mastodon pour les toutes dernières infos.

Iraanse MuddyWater, vermomd als Snake-spel, richt zich op kritieke infrastructuur in Israël en Egypte – ESET Research

·       ESET Research ontdekte nieuwe activiteiten van MuddyWater (aan Iran gelinkte cyberspionagegroep) die zich richten op kritieke overheidsinfrastructuren in Israël, met een bevestigd doelwit in Egypte.

·       De groep gebruikte geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren door een loader (Fooder ) te gebruiken die de backdoor in het geheugen laadt en uitvoert.

·       ESET biedt technische analyses van de tools die in deze campagne gebruikt worden.

MONTREAL, BRATISLAVA, 2 december 2025 — ESET Research heeft nieuwe MuddyWater-activiteiten geïdentificeerd die zich vooral richten op organisaties in Israël, met een bevestigd doelwit in Egypte. In Israël waren de doelwitten sectoren als technologie, engineering, productie, lokale overheid en onderwijs. MuddyWater, ook wel Mango Sandstorm of TA450 genoemd, is een aan Iran gelinkte cyberspionagegroep bekend om zijn aanhoudende aanvallen op de overheid en kritieke infrastructuur. Hierbij worden aangepaste malware en publieke tools gebruikt. De groep is gelinkt aan het Iraanse Ministerie van Inlichtingen en Nationale Veiligheid. In deze campagne werden een reeks nog niet gedocumenteerde, aangepaste tools ingezet om de verdediging te ontwijken en de persistentie te verbeteren. MuddyViper, de nieuwe backdoor, laat de aanvallers toe om systeeminformatie te verzamelen, bestanden en shell-opdrachten uit te voeren, bestanden over te dragen en Windows-inlog-gegevens en browsergegevens te exfiltreren. De campagne gebruikt extra inlog-gegevensstealers. Een ervan is Fooder, een aangepaste loader die zich als het klassieke Snake-spel voordoet.

Hier wordt de eerste toegang meestal verkregen via spearphishing-e-mails, vaak met pdf-bijlagen gelinkt aan installatieprogramma's voor software voor remote monitoring en beheer (RMM) die gehost worden op gratis platformen voor bestandsdeling zoals OneHub, Egnyte of Mega. De links leiden naar het downloaden van tools zoals Atera, Level, PDQ en SimpleHelp. Tot de tools die ingezet worden door MuddyWater-operatoren behoort ook de VAX One-backdoor, genoemd naar de legitieme software die het nabootst: Veeam, AnyDesk, Xerox en de OneDrive-updateservice.

Het voortdurende gebruik van de groep van dit bekende script maakt zijn activiteiten nogal eenvoudig te detecteren en te blokkeren. De groep gebruikte hier ook geavanceerdere technieken om MuddyViper, een nieuwe backdoor, te implementeren. Deze techniek werd uitgevoerd met een loader (Fooder) die MuddyViper reflectief in het geheugen laadt en uitvoert. Meerdere versies van Fooder vermommen zich als de klassieke Snake-game, vandaar de naam MuddyViper. Een ander kenmerk van Fooder is het frequente gebruik van een aangepaste vertragingsfunctie die de basislogica van de Snake-game implementeert, gecombineerd met "Sleep" API-oproepen. Deze functies zijn bedoeld om de uitvoering te vertragen in een poging het kwaadaardige gedrag te verbergen voor geautomatiseerde analyse-systemen. Daarnaast gebruiken de ontwikkelaars van MuddyWater CNG, de volgende generatie cryptografische APIs voor Windows. Dit is nogal uniek voor groepen gelinkt aan Iran en atypisch in het ruimere dreigingslandschap. Tijdens deze campagne vermeden de operatoren opzettelijk interactieve sessies met het toetsenbord, een techniek die nogal omslachtig is. Hoewel sommige componenten nog steeds veel ruis produceren en gemakkelijk te detecteren zijn, wat typisch is voor MuddyWater, vertoont deze campagne tekens van technische evolutie: verhoogde precisie, strategische targeting en een geavanceerdere toolset.

Na een hack bevat de toolset ook meerdere stealers van inloggegevens: CE-Notes, dat zich richt op Chromium-gebaseerde browsers; LP-Notes, dat gestolen inloggegevens scant en verifieert; en Blub, dat inloggegevens steelt van de browsers Chrome, Edge, Firefox en Opera.

In 2017 werd MuddyWater voor het eerst door Unit 42 aan het publiek voorgesteld. De beschrijving van de activiteiten komt overeen met de profilering gemaakt door ESET : een focus op cyberspionage, het gebruik van schadelijke documenten als bijlagen om gebruikers aan te zetten macro's in te schakelen en beveiligingscontroles te omzeilen, en primair gericht op entiteiten in het Midden-Oosten.

Belangrijke activiteiten waren o.a. Operaton Quicksand (2020), een cyberspionage-campagne gericht op Israëlische overheidsinstanties en telecommunicatie-organisaties, die de evolutie van de groep van eenvoudige phishing tactieken naar geavanceerdere, meerfase-operaties laat zien; een campagne gericht op politieke groepen en organisaties in Turkije, die de geopolitieke focus van de groep aantoont, het vermogen om social engineering-tactieken aan lokale contexten aan te passen en het vertrouwen in modulaire malware en flexibele Command & Control-infrastructuur.

ESET heeft meerdere campagnes gedocumenteerd die aan MuddyWater toegeschreven zijn en die de evolutie van de toolset en de veranderende operationele focus van de groep benadrukken. In maart en april 2023 richtte MuddyWater zich op een onbekend slachtoffer in Saoedi-Arabië en begin 2025 voerde de groep een campagne uit die opviel door de overlap met Lyceum (een subgroep van OilRig). Dit suggereert dat MuddyWater zou fungeren als een initiële toegangsmakelaar voor andere aan Iran gelinkte groepen.

Lees voor een meer gedetailleerde analyse van deze MuddyWater-campagne de nieuwste blog van ESET Research “MuddyWater: Snakes by the riverbank”op www.welivesecurity.com . Volg ook ESET Research op Twitter (today known as X), BlueSky, en Mastodon voor de nieuwste informatie.

ESET zet zich in met onderzoek van wereldniveau en krachtige threat intelligence, ondersteund door R&D-centra en een sterk wereldwijd partnernetwerk. Bezoek voor meer informatie of www.eset.com of https://www.est.com/be-nl/,volg onze sociale media, podcasts en blogs.

Key Communications
Catherine d’Adesky / Louise Biron

 

 

 

 

 

Le renseignement Open-source permet de découvrir votre empreinte digitale et vos points faibles par ESET

 

Le 24 novembre 2025 – Nous passons beaucoup de temps en ligne, exploitant l'immensité des informations, des communications et des ressources disponibles. Il ne s’agit pas de trouver des données, mais de savoir lesquelles sont pertinentes, fiables et dignes de confiance. Toute personne travaillant avec de l'information doit être capable d'en évaluer l'authenticité.

C’est ici qu’intervient l’OSINT (Open Source Intelligence). Ce terme désigne la collecte et l’analyse de données publiques pour en extraire des informations exploitables. Les journalistes peuvent l’utiliser pour leurs enquêtes et vérifier des faits, les entreprises peuvent gérer leur réputation ou surveiller leurs concurrents et les chercheurs peuvent l’utiliser pour leurs travaux. Si l’on cherche à donner du sens à des données publiques, on est déjà dans le domaine de l’OSINT, que l’on trouve également dans des applis de cybersécurité.

A l'origine, c’était une pratique réservée à l’armée et aux forces de l'ordre. C’est maintenant une discipline essentielle en cybersécurité, permettant d'évaluer les risques, d'identifier les actifs vulnérables et de comprendre les menaces potentielles. L'OSINT permet aux organisations d’avoir une vision plus claire de leur empreinte digitale et les aide à trouver leurs failles avant qu'elles ne soient exploitées à des fins malveillantes.

Les testeurs d'intrusion l'utilisent lors de la localisation des domaines ou services exposés. Les équipes de renseignement sur les menaces s'en servent pour suivre les activités malveillantes sur les réseaux sociaux ou les forums clandestins. L'OSINT permet de tester la visibilité des infrastructures depuis l'extérieur. Les professionnels de la sécurité peuvent aussi mieux comprendre les acteurs malveillants en repérant leurs tactiques et en observant leurs échanges.

Mais toute information accessible au public, à propos d’une organisation, l’est également pour les adversaires, qui peuvent exploiter l'OSINT pour des attaques de spearphishing, car la connaissance des habitudes ou des collègues d'une cible rend l'appât plus convaincant.

Les spécialistes de l'OSINT utilisent une multitude d'outils, libres ou propriétaires, qui automatisent la collecte et l'analyse des données. Parmi les plus courants, l’on trouve  : Shodan,  Censys et Maltego (un outil de cartographie visuelle pour relier des personnes, des domaines et des adresses IP afin de révéler des connexions cachées ) ; TheHarvester, Recon-ng, SpiderFoot (ensembles de scripts qui collectent des adresses mail, sous-domaines, hôtes, noms d'utilisateur, etc., à partir de sources multiples, ils sont utiles en phase de reconnaissance des tests d'intrusion); OSINT Framework et OSINTCombine (outils qui organisent des centaines de ressources gratuites par catégorie) ; Google Dorks et GooFuzz (techniques de recherche avancées pour aider à découvrir des données sensibles indexées par les moteurs de recherche ) ; Namechk et Sherlock (outils de gestion des réseaux sociaux qui vérifient si un nom d'utilisateur existe sur des dizaines de sites et utiles pour créer des profils numériques); Skopenow, Telegago ou AccountAnalysis (outils plus avancés qui analysent les comportements et les interactions sur des plateformes comme X, Facebook ou Telegram) etc. Les projets automatisés peuvent combiner le renseignement en sources ouvertes (OSINT) avec des alertes en temps réel. FBI Watchdog signale, en temps réel, les domaines saisis légalement et les modifications DNS. Il existe aussi divers outils qui surveillent les forums criminels afin de détecter les premiers signes de campagnes de rançongiciels.

Pour débuter, voici quelques outils gratuits avec une documentation complète : on explore le framework OSINT (OSINT Framework) pour trouver des ressources catégorisées ; on expérimente avec TheHarvester, Recon-ng et SpiderFoot pour comprendre la collecte automatisée de données ; on apprend les bases du Google Dorking et comment utiliser Shodan ; on essaie Maltego, qui intègre plusieurs API dans une seule interface, pour visualiser les relations et les ensembles de données (visualize relationships and datasets).

Savoir comment utiliser les outils OSINT est une chose ; savoir enquêter de manière responsable en est une autre. Il faut aussi savoir quand créer de faux comptes pour les enquêtes, quand utiliser le web scraping pour traiter de grands ensembles de données et quand explorer le dark web (explore the dark web). Il ne faut jamais oublier de respecter les lois sur la protection de la vie privée et l'éthique de la recherche : elles font partie intégrante du métier.

« À la veille de 2026, le renseignement open-source  (OSINT) est plus pertinent que jamais. Il fait maintenant partie intégrante du fonctionnement de la cybersécurité, du journalisme et de la recherche. L'explosion des données disponibles, liée à une automatisation plus intelligente et à l'IA, permet à tous d'extraire des renseignements significatifs des sources ouvertes. Bien menée, l'OSINT transforme le flux incessant d'informations en ligne en données exploitables, » conclut Mario Micucci, chercheur chez ESET.

A propos d’ESET

ESET® propose une cybersécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. En combinant la puissance de l'IA et l'expertise humaine, ESET anticipe les cybermenaces mondiales émergentes, connues et inconnues, sécurisant les entreprises, les infrastructures critiques et les particuliers. Qu'il s'agisse de protection de terminaux, du cloud ou d’appareils mobiles, ses solutions et services cloud, basés sur l'IA, sont hautement efficaces et d’une utilisation faciles. La technologie ESET comprend une détection et une réponse robustes, un chiffrement ultra-sécurisé et une authentification multifacteur. Grâce à une défense en temps réel 24/7 et à un support local performant, ESET assure la sécurité des utilisateurs et la continuité des activités des entreprises. L'évolution constante du paysage numérique exige une approche progressive de la sécurité. ESET est engagé dans une recherche de pointe et une veille stratégique sur les menaces, avec le soutien de ses centres de R&D et un solide réseau de partenaires au niveau mondial. Pour plus d'informations, rendez-vous sur www.eset.com/  ou suivez nos réseaux sociaux, podcasts,  blogs et https://www.est.com/be-fr/

INFO PRESSE  

ESET BeLux - MGK Technologies Maxime Mutelet +352 26 18 51 www.eset.lu

Key Communications Catherine d’Adesky / Louise Biron +32 (0)475 48 62 68 catherine@keycommunications.be www.keycommunications.be

Si vous ne désirez plus recevoir de communiqués d’ESET, faites le savoir à catherine@keycommunications.be