Opération Iron Mirror

Le 12 août 2025, la Plateforme Nationale Unifiée de Corrélation de Logs détecte des activités coordonnées provenant d'une seule IP marocaine : 41.137.84.72. Scanning coordonné de 47 systèmes gouvernementaux, tentatives d'injection SQL, brute-force SMB, staging de payloads. L'IP appartient à TransMaghreb Logistics, une entreprise de logistique légitime à Casablanca. L'entreprise nie toute activité malveillante. Évaluation initiale : infrastructure compromise et weaponisée comme nœud relais. 21 missions à travers 7 phases opérationnelles, de la corrélation de logs à l'exploitation web, du routeur OpenWRT au mouvement latéral SMB, via FTP et SNMP, jusqu'à l'identification du groupe SCARAB-7 et la récupération des clés de chiffrement ransomware dans un coffre KeePass.