Opérations Actives

Le 10 mars 2025, le système de détection de fraude de la Banque Ittihad signale 4,7 millions de dirhams en virements frauduleux à travers 6 agences régionales. L'Unité de Lutte Contre la Cybercriminalité (ULCC) lance l'Opération Mosaïque - un mandat d'investigation de 72 heures. Votre mission : analyser 27 captures réseau uniques, tracer les communications du syndicat criminel EnigMar à travers 8 villes marocaines - de Casablanca à Tanger, en passant par Marrakech, Fès et Nador. Identifiez les six opérateurs : L'Architecte, Le Comptable, La Taupe, Le Passeur, Le Technicien et Le Fantôme. Chaque PCAP révèle un nouveau fragment du puzzle. Wireshark deviendra votre arme principale.

Le 14 avril 2025, jour de fête nationale, les logs WAF du portail e-gouvernement e-Maghrib signalent un pic anormal d'erreurs 403. À 03h15, la même IP s'authentifie avec succès au panneau admin. À 04h30, les logs DNS internes révèlent des requêtes vers des domaines d'infrastructure de UNC-7913. 12 millions de dossiers citoyens sont en danger. L'équipe SOC est réduite à 3 analystes au lieu de 8. La Division Analyse des Menaces est activée. 21 missions à travers 8 zones d'infrastructure - du DMZ-Web au SOC-Hub. Corrélez les logs JSON, syslog, EVTX Windows et DNS. Reconstituez la chronologie de l'intrusion avant que l'adversaire n'exfiltre les données.

Le 12 août 2025, la Plateforme Nationale Unifiée de Corrélation de Logs détecte des activités coordonnées provenant d'une seule IP marocaine : 41.137.84.72. Scanning coordonné de 47 systèmes gouvernementaux, tentatives d'injection SQL, brute-force SMB, staging de payloads. L'IP appartient à TransMaghreb Logistics, une entreprise de logistique légitime à Casablanca. L'entreprise nie toute activité malveillante. Évaluation initiale : infrastructure compromise et weaponisée comme nœud relais. 21 missions à travers 7 phases opérationnelles, de la corrélation de logs à l'exploitation web, du routeur OpenWRT au mouvement latéral SMB, via FTP et SNMP, jusqu'à l'identification du groupe SCARAB-7 et la récupération des clés de chiffrement ransomware dans un coffre KeePass.

Le 20 juin 2025, Souk Digital, la plus grande place de marché en ligne du Maroc, reçoit une notification de fraude : 3 000 cartes clients signalées. Point commun : toutes les victimes ont acheté sur Souk Digital ces 60 derniers jours. L'attaque a duré 8 semaines avant détection. Les attaquants ont sondé chaque endpoint, trouvé de multiples vulnérabilités, et les a exploitées en séquence. La Division Cybercrime Applicatif est appelée pour reconstituer l'attaque. 20 missions couvrant le OWASP Top 10 - injection SQL, XSS, IDOR, SSRF, contournement d'authentification. Analysez les logs HTTP, décodez les payloads et identifiez les données exfiltrées.

Le 8 juillet 2025, le Morocco Cobalt Group (MCG), première entreprise de cobalt du Maroc, mandate la Division Opérations Offensives pour un test d'intrusion complet. La question : « Un attaquant pourrait-il atteindre nos systèmes industriels ? » Vous êtes testeur de pénétration junior dans l'équipe Red Team de l'ULCC, supervisé par le Major Tazi. Votre terrain : l'infrastructure IT et OT de MCG -Active Directory, Exchange, SharePoint, et les systèmes SCADA Siemens. 25 missions à travers 8 zones - de la reconnaissance externe à l'accès SCADA. Prouvez le chemin d'attaque sans rien casser. Seuls les plus aguerris atteindront l'objectif final.

Le 5 mai 2025, Atlas Telecom découvre qu'un compte Domain Admin a accédé à l'email du PDG à 3h du matin depuis un poste non autorisé. L'investigation révèle une compromission vieille de 6 mois - depuis novembre 2024. L'adversaire a eu accès au Domain Admin pendant tout ce temps. 8 millions de dossiers abonnés sont menacés. Des artefacts Mimikatz sont découverts. La Division Sécurité Identitaire mène l'investigation forensique. 18 missions à travers les couches AD - du User-Base au Tier-0. Cartographiez les chemins d'attaque avec BloodHound, détectez le DCSync, analysez les Golden Tickets et planifiez la remédiation.

Un réseau de contrebande de données baptisé « Mgoun » opère une chaîne de dead-drops numériques à travers l'intérieur du Maroc. Des zero-days volés transitent de relais en relais, du Moyen Atlas jusqu'à un acheteur à Marrakech. Le CERT-MAROC ne peut pas envoyer une équipe complète sans griller l'opération. Ils vous envoient vous - un agent, un laptop, une voiture de location. Votre couverture : un touriste en road trip. 8 étapes. 50 défis. Sécurité web, forensique réseau, analyse de logs, Active Directory, cryptographie, stéganographie, OSINT et Red Team - tout mélangé, comme dans la vraie vie. Chaque indice trouvé vous mène à la ville suivante. Chaque ville cache un opérateur de Mgoun. Azrou. Midelt. Errachidia. Merzouga. Kelaa Megouna. Aït Bouguemez. Ouzoud. Marrakech. Le vent se lève. Suivez la piste avant qu'elle ne s'efface.