TLP:CLEAR | Diffusion libre | Mise à jour : mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations : OilRig (CrowdStrike), Helix Kitten (CrowdStrike), APT34 (Mandiant/Google), IRN2 (SecureWorks), COBALT GYPSY (SecureWorks), Crambus (Symantec), Earth Simnavaz (Trend Micro), EUROPIUM (Microsoft)
Origine : Iran Sponsor présumé : Ministère du Renseignement iranien (MOIS — Vezarat-e Ettela’at va Amniat-e Keshvar) Niveau de sophistication : Élevé (APT confirmé, opérations persistantes depuis 2012) Motivation : Espionnage stratégique, collecte de renseignements géopolitiques, sabotage ponctuel
Secteurs ciblés : Énergie (pétrole & gaz), finances, télécommunications, gouvernements, défense, chimie, transports
Zones géographiques : Moyen-Orient (prioritaire : Arabie Saoudite, Émirats arabes unis, Koweït, Irak, Jordanie, Bahreïn), Europe, Amérique du Nord, Asie du Sud
2. INFRASTRUCTURE & TTPs
Infrastructure
APT34 opère une infrastructure fortement segmentée et renouvelée régulièrement :
- C2 primaires : DNS tunneling (protocole DNS utilisé comme canal C2 exfiltration/commande — signature distincte du groupe)
- C2 secondaires : HTTPS vers domaines légitimes compromis ou domaines enregistrés imitant des entités connues (typosquatting)
- Hébergement : VPS louées via revendeurs (évitement des attributions directes), infrastructure partiellement partagée avec APT33
- Registrars fréquents : Namecheap, Njalla, services anonymisants
- Pivot via réseaux légitimes : Utilisation de comptes compromis sur LinkedIn, Exchange, OWA pour persistance initiale
TTPs (MITRE ATT&CK)
| Phase | Technique | ID |
|---|---|---|
| Reconnaissance | Collecte OSINT LinkedIn, spear-phishing ciblé | T1589, T1598 |
| Initial Access | Spear-phishing pièces jointes (macro Office, LNK), exploitation VPN/OWA | T1566.001, T1190 |
| Execution | PowerShell, VBScript, DNS requests | T1059.001, T1059.005 |
| Persistence | Scheduled Tasks, Web Shell, modification registre | T1053.005, T1505.003 |
| Defense Evasion | Living-off-the-land, obfuscation PowerShell, signed binary proxy | T1027, T1218 |
| Credential Access | Credential dumping (Mimikatz), harvesting OWA/Exchange | T1003, T1114 |
| Lateral Movement | Pass-the-Hash, RDP, SMB | T1550.002, T1021.001 |
| Exfiltration | DNS tunneling, HTTPS, email via comptes compromis | T1048.001, T1041 |
| C2 | DNS over HTTPS (DoH), protocoles applicatifs légitimes | T1071.004, T1071.001 |
3. MALWARES & TOOLING
Outils développés en interne
POWRUNER
- Type : Backdoor PowerShell
- Fonction : Exécution de commandes distantes, collecte système
- Canal C2 : DNS tunneling
- Détection : Présence de requêtes DNS anormalement longues (labels > 63 caractères), fréquence élevée de requêtes TXT
BONDUPDATER
- Type : Backdoor PowerShell
- Fonction : Téléchargement/exécution de charges utiles, persistance
- Particularité : Utilise des enregistrements DNS TXT pour recevoir les commandes C2
- Famille : Utilisé conjointement avec POWRUNER
TWOFACE / SEASHARPEE
- Type : Web Shell (ASP.NET / ASPX)
- Fonction : Accès persistant sur serveurs Exchange/OWA compromis
- Déploiement : Post-exploitation sur infrastructure Exchange exposée
HYPERSHELL
- Type : Web Shell Perl
- Fonction : Backdoor sur serveurs Linux
RAGERUNNER / SAITAMA
- Type : Backdoor .NET
- Fonction : Exfiltration via DNS, communication C2 encodée en base64 dans labels DNS
- Campagne : Identifié en 2022 ciblant des entités gouvernementales jordaniennes
MENORAH
- Type : Backdoor PowerShell
- Fonction : Fingerprinting système, exfiltration fichiers, exécution commandes
- Campagne : Identifié en 2023, ciblage Moyen-Orient
VEATY / SPEARAL
- Type : Malware .NET (deux composants distincts)
- Fonction : VEATY utilise des emails compromis comme canal C2 (lecture/écriture dans boîtes Exchange), SPEARAL utilise le DNS tunneling
- Campagne : Identifié en 2024, ciblage Iraq (gouvernement, télécoms)
Outils tiers utilisés
- Mimikatz (credential dumping)
- CrackMapExec (mouvement latéral)
- Plink / PuTTY (tunneling SSH)
- ngrok (exposition services internes)
- nbtscan (reconnaissance réseau interne)
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne / Opération | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2012–2014 | Activité initiale documentée | Énergie, gouvernements Moyen-Orient | Spear-phishing | Outils custom non nommés |
| 2016 | Campagne OilRig v1 | Organisations saoudiennes, financières | Spear-phishing macro Office | POWRUNER, BONDUPDATER |
| 2017–2018 | Campagnes OilRig étendues | Télécoms, gouvernements Gulf States | OWA compromise, spear-phishing | TWOFACE, SEASHARPEE, POWRUNER |
| 2019 | Leak d’outils par Lab Dookhtegan | — | — | Publication de code source JASON, HYPERSHELL, GLIMPSE sur Telegram |
| 2019–2020 | Campagne Exchange/OWA | Banques, gouvernements Moyen-Orient | Exploitation OWA | TWOFACE, credential harvesting |
| 2021–2022 | Campagne Jordanie | Entités gouvernementales | Spear-phishing | SAITAMA |
| 2022–2023 | Campagne Moyen-Orient élargie | Gouvernements, énergie | Spear-phishing, exploitation VPN | MENORAH |
| 2024 | Campagne Iraq | Gouvernement, télécoms, ONG | Spear-phishing, web shell | VEATY, SPEARAL |
| 2024–2025 | Earth Simnavaz (Trend Micro) | UAE, Gulf States | Exploitation Exchange, CVE-2024-30088 (Windows Kernel EoP) | Backdoor .NET, web shell ASPX |
Note : En 2019, le groupe hacktiviste Lab Dookhtegan (probablement soutenu par un État rival) a publié le code source de plusieurs outils APT34 et des données d’infrastructure sur Telegram, forçant le groupe à renouveler partiellement son arsenal.
5. INDICATEURS DE COMPROMISSION (IOCs)
Les IOCs suivants sont issus de rapports publics. Leur pertinence opérationnelle doit être évaluée en fonction de leur date de publication — APT34 renouvelle régulièrement son infrastructure.
Patterns DNS caractéristiques
- Requêtes DNS avec labels encodés en base64 (longueur anormale)
- Requêtes DNS TXT à haute fréquence vers domaines non résolus
- Sous-domaines de type :
[base64_data].[domain].com
Domaines historiques (rapports publics)
b.tzuri.me
dns.changeip.com
windowsupdater.com
microsoftapps.net
svnwork.comHachages malwares (publics, SAITAMA)
SHA256 : 687c5ce1fe1f8fb8ab1e1fb1b3e2d8c5b2eaf2d2e5e6c7a3b4f5e6d7c8b9a0f1(hachage symbolique — consulter les rapports Malwarebytes/ESET pour hachages vérifiés)
User-Agents anormaux observés
python-requests/2.x
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)Sources IOCs temps réel recommandées
- MISP (partages communautaires APT34)
- OpenCTI (flux publics)
- AlienVault OTX : https://otx.alienvault.com (recherche « OilRig » / « APT34 »)
- MITRE ATT&CK G0049 : https://attack.mitre.org/groups/G0049/
6. DÉTECTION & CONTRE-MESURES (MITRE ATT&CK)
Règles de détection prioritaires
DNS Tunneling (T1048.001 / T1071.004)
Détecter :
- Requêtes DNS avec entropie élevée dans les labels (Shannon entropy > 3.5)
- Volume de requêtes DNS TXT anormalement élevé par endpoint
- Labels DNS > 50 caractères
- Réponses DNS TXT contenant du contenu encodé base64
Outils : Zeek (dns.log), Suricata (règles DNS), Elastic SIEMWeb Shell (T1505.003)
Détecter :
- Création de fichiers .aspx/.php dans répertoires web Exchange/OWA
- Processus w3wp.exe ou httpd spawning cmd.exe / powershell.exe
- Accès HTTP à fichiers .aspx non référencés dans l'application
Outils : Sysmon (Event ID 1, 11), EDR process tree analysisCredential Harvesting Exchange (T1114)
Détecter :
- Accès OWA depuis IPs/ASN inhabituels
- Export de boîtes mail via EWS (Exchange Web Services) hors processus légitimes
- Création de règles de transfert mail vers adresses externesPowerShell obfusqué (T1059.001 / T1027)
Détecter :
- PowerShell avec encodage -EncodedCommand
- Invocation de [System.Reflection.Assembly]::Load
- Présence de caractères d'échappement anormaux dans les scripts
Règle Sigma : https://github.com/SigmaHQ/sigma (recherche OilRig)Contre-mesures recommandées
- Filtrage DNS : Déployer un DNS resolver avec inspection (Pi-hole entreprise, Infoblox, Cisco Umbrella) — prioritaire contre le DNS tunneling
- Exchange / OWA : Restreindre l’accès EWS aux seuls clients légitimes, activer la journalisation avancée Exchange
- MFA : Imposer le MFA sur tous les accès OWA/Exchange exposés (priorité absolue)
- Segmentation : Isoler les serveurs Exchange du reste du SI, limiter les flux DNS sortants aux seuls resolvers autorisés
- EDR : Activer la télémétrie PowerShell (ScriptBlock Logging, Module Logging, Transcription)
- Threat Hunting : Chasse proactive sur les patterns DNS tunneling et les web shells ASPX non référencés
SOURCES
- Mandiant / Google — APT34 threat actor profile : https://www.mandiant.com/resources/insights/apt-groups
- MITRE ATT&CK — G0049 OilRig : https://attack.mitre.org/groups/G0049/
- CrowdStrike — Helix Kitten adversary profile : https://www.crowdstrike.com/adversaries/helix-kitten/
- Palo Alto Unit42 — OilRig campaign analysis : https://unit42.paloaltonetworks.com/tag/oilrig/
- ESET Research — OilRig tooling analysis : https://www.welivesecurity.com
- Trend Micro — Earth Simnavaz (2024) : https://www.trendmicro.com/en_us/research/24/j/earth-simnavaz.html
- Check Point Research — VEATY & SPEARAL (2024) : https://research.checkpoint.com
- Malwarebytes — SAITAMA backdoor analysis (2022) : https://www.malwarebytes.com/blog/threat-intelligence
- Lab Dookhtegan leak — Telegram (2019) — archivé via sources OSINT
- AlienVault OTX — APT34/OilRig IOCs : https://otx.alienvault.com/browse/global/pulses?q=APT34
- SigmaHQ — Règles de détection OilRig : https://github.com/SigmaHQ/sigma
