Le tristement groupe Lyceum (également connu sous le nom d'Hexane Spirline) basé en Iran, mis en exergue pour la première fois par "Secureworks" en 2019, a encore refait des siennes au regard de nouveaux clusters d'activité, identifiés entre juin et septembre/octobre 2021, par des chercheurs en cybersécurité des groupes Cyber Threat Intelligence (ACTI) d'Accenture et l'Adversarial Counterintelligence Team (PACT) de Prevailion. Ces derniers corroborant des résultats d'enquêtes ont découvert, une activité particulièrement virulente ayant un accent d'intrusion de réseau informatique visant les fournisseurs de télécommunications au Moyen-Orient et Afrique du Nord (MENA) en Israël, au Maroc, en Tunisie, en Arabie saoudite, ainsi qu'un ministère des Affaires étrangères (MAE) en Afrique. Actif depuis 2017, Lyceum cible les organisations dans des secteurs d'importance nationale stratégique, y compris les organisations pétrolières et gazières ainsi que les fournisseurs de télécommunications. ACTI/PACT évaluent que les objectifs de cette campagne sont conformes à l'activité précédente du Lyceum, cependant, le groupe a élargi son ensemble d'objectifs pour inclure les FAI et les organismes gouvernementaux. Lyceum parrainé par l'Iran est connu pour cibler des secteurs d'importance nationale stratégique à des fins de cyberespionnage, tout en réorganisant son arsenal avec de nouveaux implants et en élargissant son champ de vision pour inclure les FAI et les agences gouvernementales. Il a été remarqué également certaines similitudes entre Lyceum et le tristement célèbre groupe DNSpionage, lui-même associé au pôle d'activité OilRig. Les entreprises de télécommunications et les FAI sont des cibles de haut niveau pour les acteurs du cyberespionnage, car une fois compromis, ils donnent accès à diverses organisations et abonnés en plus des systèmes internes qui peuvent être utilisés pour tirer encore plus parti des comportements malveillants. De plus, les entreprises de ces secteurs peuvent également être utilisées par des acteurs de la menace ou leurs sponsors pour surveiller les personnes d'intérêt. Les AMF sont également des cibles très recherchées, car elles disposent de renseignements précieux sur l'état actuel des relations bilatérales et d'un aperçu des transactions futures. Deux familles de logiciels malveillants distinctes – appelées Shark et Milan (nommées "James" par Kaspersky), sont utilisées par Lyceum chacun permettant l'exécution de commandes arbitraires et l'exfiltration de données sensibles des systèmes compromis vers un attaquant distant généralement un serveur contrôlé. Lyceum continuera probablement à utiliser ces deux portes dérobées, bien que modifiées, car le groupe a probablement réussi à maintenir des points d'ancrage dans les réseaux des victimes malgré la divulgation publique d'indicateurs de compromission associés à ses opérations », ont déclaré les chercheurs. À titre de rappel le Maroc avait rompu en 2018 (missiles iraniens vendus aux séparatistes du polisario) ses relations diplomatiques avec l'Iran. Le chef de la diplomatie marocaine avait alerté en début d'année la menace de l'Iran quant à ceci qui pesait sur le Maroc et la région de l'Afrique du Nord.
