Le 2 décembre 2025, les chercheurs en cybersécurité d’ESET ont mis en lumière une campagne de cyberespionnage menée par le groupe iranien MuddyWater. Point notable de cette opération, les hackers se sont inspirés du mécanisme du jeu Snake pour brouiller les pistes et compliquer l’analyse de leurs activités malveillantes.

Il fut un temps où les batteries de nos téléphones pouvaient durer plusieurs jours sans avoir besoin d’être rechargées. Mais c’était aussi une époque où le divertissement sur mobile se résumait souvent à un seul mot : Snake.

Pour les nostalgiques, l’évocation de ce jeu disponible sur Nokia transporte une vague de souvenirs. Pour les plus pragmatiques, il incarne le niveau 0 d’une programmation informatique dédiée au divertissement : une boucle infinie.

Snake repose en effet sur un mécanisme simple : la boucle qui règle la vitesse du serpent est conditionnée par des appels successifs à la fonction « sleep » entre chaque mouvement du reptile. Plus la fonction sleep est configurée sur un temps court, plus le serpent se déplace vite et plus le jeu devient difficile. Suffisamment efficace pour nous occuper des heures, ce principe semble toutefois avoir trouvé un autre intérêt aux yeux d’espions iraniens.

Dans une campagne de cyberespionnage révélée par les chercheurs en cybersécurité d’ESET le 2 décembre 2025, on apprend que les hackers se sont appuyés sur ce même mécanisme de boucle et d’appels fréquents à sleep pour permettre un vol de données en toute discrétion.

Le même mécanisme a été trouvé dans le code malveillant des cyberespions iraniens // Source : ESET
Le même mécanisme de délai a été trouvé dans le code malveillant des cyberespions iraniens. // Source : ESET

Snake au cœur de l’infiltration

Tout d’abord, passons en revue le canal d’intrusion de l’attaque. Ici, rien de particulièrement original, les espions iraniens ont mené une campagne de phishing ultra-ciblée.

Le but de ces mails piégés ? Amener leurs victimes à télécharger ce qui est présenté comme un outil professionnel anodin, via des fichiers hébergés sur des plateformes parfaitement légitimes, ce qui renforce l’illusion de normalité.

Mais une fois l’outil installé, un mécanisme discret prend le relais. Il aboutit au déploiement de « Fooder », officiellement un simple exécutable, officieusement un chargeur de malware, dont le véritable rôle est de déchiffrer un logiciel malveillant embarqué puis de l’exécuter.

En plus de brouiller les pistes en se faisant appeler comme le jeu dans le code, Fooder reprend la structure logique inspirée de la boucle de Snake.

L’objectif est ici d’introduire des pauses artificielles dans son exécution, avant et pendant le chargement de la charge utile. Ces pauses font que les actions suspectes comme le déchiffrement AES, le chargement en mémoire ou l’initialisation du backdoor ne s’enchaînent pas en rafale, mais sont étalées dans le temps, ce qui rend le comportement moins suspect pour les systèmes de sécurité.

Un acteur déjà suivi par les chercheurs en menaces cyber

L’aboutissement de ce mécanisme ? Le téléchargement de malwares donnant un accès persistant aux machines infectées, permettant entre autres d’exécuter des commandes à distance, de déplacer des fichiers, de voler des identifiants Windows et des mots de passe de navigateurs, de stocker ces données localement puis de les exfiltrer via des tunnels proxy chiffrés. Tout un programme.

Les cibles choisies par le groupe iranien illustrent la dimension géopolitique de cette campagne, qui se serait étendue du 30 septembre 2024 au 18 mars 2025, selon les chercheurs d’ESET.

Elle touche principalement des acteurs stratégiques en Israël, notamment des organisations d’ingénierie, des entreprises manufacturières, des acteurs du transport, de la technologie, des universités et plusieurs entités gouvernementales locales. Dans un cas, le rapport précise qu’un autre groupe de hackers aurait pris la main une fois la cible compromise, faisant de MuddyWater, à l’origine du faux Snake, un possible « courtier d’accès initial » pour d’autres équipes affiliées.

MuddyWater, aussi appelé Mango Sandstorm ou TA450, est un groupe actif depuis au moins 2017. Il est considéré par de nombreuses sociétés de cybersécurité comme aligné sur les intérêts iraniens, avec des liens publiquement évoqués avec le ministère du Renseignement du régime.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par YouTube.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par YouTube avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !