GROUPES PRIMAIRES (sponsorisés par l’État)
| Nom principal | Alias | Sponsor présumé | Spécialité |
|---|---|---|---|
| APT34 | OilRig, Helix Kitten, COBALT GYPSY, EUROPIUM, Crambus, Earth Simnavaz | MOIS | Espionnage, énergie, gouvernements |
| APT33 | Elfin, Refined Kitten, HOLMIUM, Peach Sandstorm | IRGC (probable) | Énergie, aérospatiale, sabotage |
| APT35 | Charming Kitten, Phosphorus, Mint Sandstorm, NewsBeef, TA453 | IRGC-IO | Espionnage, journalistes, dissidents, nucléaire |
| APT39 | Chafer, Remix Kitten, ITG07 | MOIS (Rana Intelligence Computing) | Télécoms, voyageurs, surveillance |
| APT42 | UNC788, Damselfly, CALANQUE | IRGC-IO | Espionnage ciblé, hameçonnage, activistes |
| MERCURY | MuddyWater, SeedWorm, TEMP.Zagros, Mango Sandstorm, Static Kitten | MOIS | Gouvernements, télécoms, Moyen-Orient |
| AGRIUS | BlackShadow, SharpBoys | MOIS (probable) | Destructif/wiper, Israël, secteur financier |
| IMPERIAL KITTEN | Tortoiseshell, TA456, Yellow Liderc | IRGC | Maritime, défense, ingénierie sociale LinkedIn |
| SCARRED MANTICORE | — | MOIS | Gouvernements Moyen-Orient, post-exploitation avancée |
| VOID MANTICORE | — | MOIS | Destructif/wiper, coopération avec SCARRED MANTICORE |
PROXIES & HACKTIVISTES INSTRUMENTALISÉS
| Nom | Lien présumé | Mode opératoire |
|---|---|---|
| Cyber Av3ngers | IRGC | Attaques ICS/SCADA (eau, énergie), opérations d’influence post-7 octobre 2023 |
| Soldiers of Solomon | IRGC (probable) | Revendications d’attaques sur infrastructures israéliennes |
| Al-Toufan | Hamas / facilitation iranienne | Opérations DDoS et défacement pro-Gaza |
| Homeland Justice | MOIS (probable) | Attaques destructives contre Albanie (2022-2023), wiper |
| Abraham’s Ax | IRGC (probable) | Attaques Arabie Saoudite, faux persona hacktiviste |
| Moses Staff | MOIS (probable) | Israël, exfiltration + fuite publique de données, destructif |
| BlackShadow | MOIS (probable) | Israël, exfiltration données personnelles, extorsion |
| Malek Team | MOIS (probable) | Iran interne : opposition, dissidents |
| Lab Dookhtegan | Acteur rival (Arabie Saoudite probable) | A leaké les outils APT34 en 2019 — contre-proxy |
STRUCTURE DE COMMANDEMENT (synthèse publique)
Iran
├── IRGC (Corps des Gardiens de la Révolution Islamique)
│ ├── IRGC-IO (renseignement) → APT35, APT42
│ ├── IRGC-QF (Force Qods) → opérations externes
│ └── Unités cyber directes → APT33, Imperial Kitten, Cyber Av3ngers
│
└── MOIS (Ministère du Renseignement)
├── APT34, APT39, MuddyWater
├── AGRIUS, Moses Staff, BlackShadow
└── Contractors : Rana Intelligence Computing, ITSecTeam, Najee TechnologyCONTRACTORS DOCUMENTÉS (sources publiques, DOJ/OFAC)
| Entité | Lien | Source |
|---|---|---|
| Rana Intelligence Computing | MOIS / APT39 | OFAC sanctions 2020 |
| ITSecTeam | IRGC | DOJ indictment 2014 |
| Najee Technology | IRGC | CISA AA22-320A (2022) |
| Afkar System Yazd | IRGC | CISA AA22-320A (2022) |
| Sabrin Kish | IRGC | DOJ indictment 2024 |
| Emennet Pasargad | MOIS | DOJ/FBI (opérations d’influence 2020-2024) |
Sources :
- MITRE ATT&CK — Iranian threat actors : https://attack.mitre.org/groups/
- CISA Advisory AA22-320A : https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-320a
- US DOJ — Iranian cyber indictments : https://www.justice.gov/cyber
- OFAC — Rana Intelligence Computing sanctions : https://home.treasury.gov/news/press-releases/sm1127
- Mandiant — APT42 report : https://www.mandiant.com/resources/apt42-charms-cons-compromises
- Microsoft MSTIC — Mint Sandstorm / Peach Sandstorm profiles : https://www.microsoft.com/en-us/security/blog/
- CrowdStrike — Kitten family adversaries : https://www.crowdstrike.com/adversaries/
- Check Point Research — Scarred Manticore / Void Manticore : https://research.checkpoint.com
