Nouvelle cybermenace : le ver 'CanisterWorm' cible l'Iran et ses infrastructures cloud

Une cyberattaque ciblée contre l'Iran

Un groupe motivé par des gains financiers tente de s'immiscer dans le conflit géopolitique en Iran en déployant un ver destructeur nommé CanisterWorm. Ce malware se propage via des services cloud mal sécurisés et efface les données des systèmes infectés configurés en heure iranienne ou avec le farsi comme langue par défaut.

Origine et mode opératoire de TeamPCP

Cette campagne, lancée le week-end dernier, émane d'un groupe cybercriminel relativement récent : TeamPCP. Depuis décembre 2025, ce groupe cible les environnements cloud d'entreprises en exploitant des vulnérabilités connues, notamment les API Docker exposées, les clusters Kubernetes, les serveurs Redis et la faille React2Shell.

Une fois infiltré, TeamPCP se déplace latéralement dans les réseaux victimes, vole des identifiants d'authentification et extorque les victimes via Telegram.

Une stratégie axée sur le cloud

Selon l'entreprise de cybersécurité Flare, TeamPCP privilégie les infrastructures cloud plutôt que les appareils grand public. Une analyse publiée en janvier révèle que 97 % des serveurs compromis sont hébergés sur Azure (61 %) ou AWS (36 %).

« La force de TeamPCP ne réside pas dans des exploits inédits ou des malwares originaux, mais dans l'automatisation à grande échelle et l'intégration de techniques d'attaque bien connues. Le groupe industrialise les vulnérabilités existantes, les mauvaises configurations et les outils recyclés pour transformer l'infrastructure exposée en une plateforme d'exploitation criminelle auto-propagatrice. »

Une attaque en chaîne contre Trivy

Le 19 mars, TeamPCP a mené une attaque par chaîne d'approvisionnement contre Trivy, l'outil de scan de vulnérabilités d'Aqua Security. Les attaquants ont injecté un malware vol de données dans les versions officielles publiées sur GitHub Actions. Bien qu'Aqua Security ait retiré les fichiers malveillants, la société Wiz a confirmé que des versions corrompues avaient été publiées, permettant aux pirates de récupérer des clés SSH, des identifiants cloud, des tokens Kubernetes et des portefeuilles de cryptomonnaies.

Le ver CanisterWorm : une menace persistante

Le même week-end, TeamPCP a utilisé l'infrastructure technique de l'attaque contre Trivy pour déployer un nouveau payload : un ver destructeur qui s'active si le système de la victime est configuré en heure iranienne ou utilise le farsi.

« Si le composant destructeur détecte que la victime se trouve en Iran et a accès à un cluster Kubernetes, il détruira les données sur chaque nœud de ce cluster. Sinon, il se contentera d'effacer la machine locale. »

Une infrastructure basée sur la blockchain

Aikido désigne l'infrastructure de TeamPCP sous le nom de CanisterWorm, car le groupe utilise des canisters ICP (Internet Computer Protocol) — des contrats intelligents basés sur la blockchain, résistants aux tentatives de suppression. Ces canisters restent accessibles tant que leurs opérateurs paient des frais en cryptomonnaie pour les maintenir en ligne.

Selon Eriksen, les membres de TeamPCP se vantent de leurs exploits dans un groupe Telegram et affirment avoir volé d'énormes quantités de données sensibles auprès de grandes entreprises, y compris une cible majeure en Iran.

Recommandations pour se protéger

• Sécuriser les API exposées et les services cloud (Docker, Kubernetes, Redis).
• Mettre à jour régulièrement les systèmes et appliquer les correctifs de sécurité.
• Surveiller les activités suspectes dans les clusters Kubernetes et les environnements cloud.
• Configurer des alertes pour les tentatives d'accès non autorisées ou les modifications de fichiers.
• Éduquer les employés sur les risques liés aux attaques par chaîne d'approvisionnement.