TLP:CLEAR | Team CTI | Mise à jour : Mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : Agrius (SentinelLabs), Agonizing Serpens (Palo Alto Networks Unit 42), Pink Sandstorm (Microsoft, anciennement Americium), Marshtreader (Security.com), BlackShadow (persona hack-and-leak utilisée publiquement par le groupe), DEV-0022 (Microsoft pré-attribution). Autres aliases : G1030 (MITRE ATT&CK).
Origine
Iran.
Sponsor présumé
Les rapports publics lient Agrius au MOIS (1). Attribution évaluée avec un niveau de confiance modéré à élevé sur la base de convergences techniques : infrastructure résolvant vers des domaines iraniens, usage du wiper DEADWOOD préalablement associé à des acteurs à nexus iranien, soumissions VirusTotal depuis l’Iran, analyses croisées SentinelLabs, ESET, Unit 42 et Check Point. Aucune désignation gouvernementale formelle comparable à Rana Corp (APT39) n’existe à ce jour. Agrius se distingue des autres clusters MOIS (APT39, MERCURY) par sa spécialisation dans les opérations destructives et les opérations d’influence, plutôt que dans la collecte de renseignement à long terme.
Niveau de sophistication
Tier 2 : Modéré, en progression. L’arsenal de wipers est développé en interne avec cadence soutenue. Les bases de code sont partagées entre les familles (Apostle, Fantasy, MultiLayer partageant la fonction GetSubDirectoryFileListRecursive). Depuis 2023, investissement documenté dans les techniques d’évasion EDR. En 2025, introduction d’un Chromium-based credential stealer et abus d’outils RMM légitimes, indiquant une convergence vers les TTPs des autres clusters iraniens.
Motivation
Destruction, perturbation et opérations d’influence. Modèle opérationnel caractéristique en deux phases : vol de PII et propriété intellectuelle, puis publication sous le persona BlackShadow sur Telegram pour le dommage réputationnel, suivi du déploiement de wipers déguisés en ransomware. Objectif : impact maximal avec deniabilité plausible.
Statut
ACTIF : dernière activité documentée : mars 2026. Campagnes wipers actives contre l’énergie, la finance et le gouvernement israéliens. Scan de caméras IP documenté pendant le conflit de juin 2025. Custom credential stealer documenté en 2025 (2)(3).
Secteurs ciblés
- Enseignement supérieur et recherche (cible prioritaire 2023)
- Technologie et industrie informatique
- Gouvernement et administrations
- Énergie, finance, services publics (extension 2026)
- Industrie du diamant (Afrique du Sud, 2022)
- Transport, logistique, technologie (campagnes supply chain)
Zones géographiques ciblées
- Israël (cible prioritaire dominante depuis 2020)
- Émirats arabes unis (secondaire)
- Afrique du Sud (industrie du diamant, 2022)
- Extension multi-pays via supply chain (Fantasy wiper, 2022)
2. INFRASTRUCTURE & TTPs
Infrastructure C2
Agrius utilise des VPN commerciaux (ProtonVPN, Mullvad, NordVPN) comme couche d’anonymisation pour accéder aux applications exposées. L’infrastructure C2 repose sur des web shells ASPXSpy modifiés déployés sur des serveurs web compromis, servant de pivots pour le mouvement latéral et le déploiement des payloads. Usage documenté de VPN israéliens légitimes comme couverture. Depuis 2025, abus d’outils RMM légitimes en complément.
Tableau TTPs MITRE ATT&CK
| Phase | Technique | ID ATT&CK | Procédure associée |
|---|---|---|---|
| Initial Access | Exploit Public-Facing Application | T1190 | Exploitation de vulnérabilités sur serveurs web exposés, VPN |
| Initial Access | Valid Accounts | T1078 | Credentials volés, accès VPN compromis |
| Execution | Command and Scripting Interpreter | T1059 | Cmd.exe, PowerShell post-exploitation |
| Persistence | Web Shell | T1505.003 | ASPXSpy (variantes modifiées obfusquées) sur serveurs IIS |
| Persistence | Create or Modify System Process | T1543 | IPsec Helper enregistré comme service Windows |
| Defense Evasion | Masquerading | T1036 | Wipers déguisés en ransomware (fausses notes de rançon) |
| Defense Evasion | Indicator Removal | T1070 | Suppression des logs Windows, shadow copies |
| Defense Evasion | Disable or Modify Tools | T1562 | Techniques anti-hooking (BFG Agonizer) pour contourner EDR |
| Defense Evasion | Modify Boot Configuration | T1542 | Écrasement du MBR/boot sector (MultiLayer) |
| Credential Access | OS Credential Dumping | T1003 | Mimikatz |
| Credential Access | Credentials from Web Browsers | T1555.003 | Custom Chromium-based credential stealer (2025) |
| Discovery | Network Service Scanning | T1046 | Nbtscan, WinEggDrop, NimScan |
| Discovery | Video Capture (caméras) | T1125 | Scan caméras IP vulnérables (CVE-2023-6895, CVE-2017-7921) pour BDA cinétique |
| Lateral Movement | Remote Services | T1021 | RDP tunnelé via web shell, RMM légitimes (2025) |
| Collection | Data from Local System | T1005 | Vol de PII et propriété intellectuelle avant wipers |
| Collection | Data from Database | T1213 | Sqlextractor : extraction depuis bases de données |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | IPsec Helper, web shells |
| Impact | Data Destruction | T1485 | Apostle, Fantasy, MultiLayer, PartialWasher, BFG Agonizer |
| Impact | Disk Wipe | T1561 | Écrasement MBR et boot sector (MultiLayer) |
| Impact | Defacement / Data Leak | T1491 | Publication données volées sous persona BlackShadow sur Telegram |
3. MALWARES & TOOLING
Apostle
- Type : Wiper .NET initialement déguisé en ransomware, puis converti en ransomware fonctionnel
- Fonction : Phase 1 : wiper destructeur sans capacité de déchiffrement (fausses notes de rançon). Phase 2 : ransomware fonctionnel avec chiffrement effectif. Écrit par le même développeur qu’IPsec Helper
- Canal C2 / particularités : IPsec Helper comme dropper et C2 préliminaire. Déploiement en fin de chaîne post-exfiltration (1)
- Première identification : SentinelLabs : 2021
- Statut : Héritage : base de code partagée documentée avec MultiLayer et Fantasy
IPsec Helper
- Type : Backdoor .NET
- Fonction : Accès distant, enregistrement comme service Windows pour persistance, exfiltration de données, déploiement de payloads additionnels
- Canal C2 / particularités : HTTP/HTTPS. Se déclare comme faux service IPsec. Exclusif au groupe Agrius selon SentinelLabs (1)
- Première identification : SentinelLabs : 2021
- Statut : Actif (base de code réutilisée)
DEADWOOD (alias Detbosit)
- Type : Wiper
- Fonction : Destruction de données. Préalablement documenté dans une attaque au Moyen-Orient avant la documentation d’Agrius
- Canal C2 / particularités : Outil standalone, pas d’infrastructure C2 persistante (1)
- Première identification : Pré-2021, réutilisé par Agrius documenté SentinelLabs 2021
- Statut : Héritage
Fantasy
- Type : Wiper .NET
- Fonction : Destruction de données à grande échelle, énumération récursive des fichiers. Partage la fonction
GetSubDirectoryFileListRecursiveavec Apostle et MultiLayer - Canal C2 / particularités : Déployé via supply chain compromise d’un éditeur logiciel israélien en 2022, blast radius multi-pays (4)
- Première identification : ESET : 2022
- Statut : Actif (base de code partagée)
Moneybird
- Type : Ransomware C++ fonctionnel
- Fonction : Chiffrement AES par fichier, note de rançon, exfiltration préalable. Brouille la frontière entre finalité financière et destructive
- Canal C2 / particularités : HTTPS (5)
- Première identification : ESET : mai 2023
- Statut : Actif
MultiLayer
- Type : Wiper .NET (deux composants : MultiList et MultiWip)
- Fonction : MultiList énumère tous les fichiers. MultiWip écrase avec données aléatoires, modifie timestamps, change les chemins avant suppression. Supprime les logs Windows, les shadow copies, et écrase les 512 premiers octets du boot sector pour rendre le système non amorçable
- Canal C2 / particularités : Outil standalone post-exfiltration. Code partagé avec Apostle, IPsec Helper, Fantasy (2)
- Première identification : Palo Alto Networks Unit 42 : novembre 2023
- Statut : Actif
PartialWasher
- Type : Wiper C++
- Fonction : Wiper sélectif avec contrôle granulaire via arguments CLI : info disques, écriture de 420 Mo de données aléatoires, wiping de fichiers/dossiers spécifiques, modification d’attributs. Sans arguments : comportement wiper par défaut
- Canal C2 / particularités : Outil standalone, interface CLI interactive disponible (2)
- Première identification : Palo Alto Networks Unit 42 : novembre 2023
- Statut : Actif
BFG Agonizer
- Type : Wiper (basé sur CRYLINE-v5.0 open source)
- Fonction : Wiper avec techniques anti-hooking pour contourner les EDR. Nombreuses similitudes de code avec le projet GitHub CRYLINE-v5.0
- Canal C2 / particularités : Outil standalone, déployé simultanément avec MultiLayer et PartialWasher comme troisième wiper redondant (2)
- Première identification : Palo Alto Networks Unit 42 : novembre 2023
- Statut : Actif
Sqlextractor
- Type : Outil d’extraction de bases de données custom
- Fonction : Extraction de PII et propriété intellectuelle depuis des serveurs de bases de données avant le déploiement des wipers
- Canal C2 / particularités : Données exfiltrées via IPsec Helper ou web shells avant la phase destructive (2)
- Première identification : Palo Alto Networks Unit 42 : novembre 2023
- Statut : Actif
Custom Chromium-Based Credential Stealer
- Type : Stealer de credentials navigateur custom
- Fonction : Ciblage de Chrome, Opera, Brave et Edge. Extraction des clés chiffrées depuis les fichiers Local State, terminaison des processus navigateur, déchiffrement, staging vers
C:\Users\Public\Downloads\cobe-notes.txt - Canal C2 / particularités : Outil custom documenté en 2025, complément du volet destructif (3)
- Première identification : Picus Security : 2025
- Statut : Actif
Outils tiers et LOLBAS utilisés
Mimikatz (credential dumping), Nbtscan / WinEggDrop / NimScan (reconnaissance réseau), LaZagne (credential harvesting), Chisel / PLink / FRP / Ligolo (tunneling réseau), Atera Agent / ConnectWise ScreenConnect / SimpleHelp / N-able / MeshCentral / PDQ / Action1 (RMM légitimes, documenté 2025), Rundll32.exe / cmd.exe (LOLBins).
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2020 | Opérations initiales | Organisations israéliennes | Exploitation applications web exposées, VPN | IPsec Helper, Apostle (wiper déguisé), DEADWOOD |
| 2021 | Campagnes BlackShadow | Cibles israéliennes : publication données | Exploitation web, ASPXSpy | Apostle (ransomware fonctionnel), IPsec Helper |
| 2021 | Hillel Yaffe Medical Center | Centre médical israélien | Exploitation applications exposées | Apostle ransomware |
| 2022 | Fantasy : supply chain | Éditeur logiciel israélien et clients aval : multiples pays (4) | Supply chain : compromission tiers de confiance | Fantasy wiper |
| 2022 | Industrie diamant Afrique du Sud | Premier ciblage hors Moyen-Orient documenté | Exploitation web, latéral | Fantasy wiper, IPsec Helper |
| 2023 (mai) | Campagne Moneybird | Organisations israéliennes (5) | Exploitation VPN, web shells | Moneybird C++ ransomware |
| 2023 (jan.-oct.) | Campagnes éducation/tech Agonizing Serpens | Enseignement supérieur et tech israéliens (2) | Exploitation serveurs web, ASPXSpy | MultiLayer, PartialWasher, BFG Agonizer, Sqlextractor |
| 2024-2025 | Campagnes multi-secteurs | Secteurs israéliens élargis (3) | Exploitation web, RMM, spear-phishing | Custom Chromium stealer, RMM légitimes |
| 2025 (juin) | Scan BDA caméras IP | Infrastructure caméras Hikvision / Dahua Israël (6) | CVE-2023-6895, CVE-2017-7921, CVE-2021-36260 | Reconnaissance BDA pendant le conflit de 12 jours |
| 2026 | Campagnes wipers actives | Énergie, finance, gouvernement israéliens (7) | Vecteurs web Agrius connus | Arsenal wiper évolué : contexte post-Epic Fury / Roaring Lion |
5. INDICATEURS DE COMPROMISSION (IoCs)
AVERTISSEMENT DE PÉREMPTION : Les IoCs listés ci-dessous sont issus exclusivement de sources publiques. Leur validité opérationnelle est soumise à péremption. Ne pas implémenter en blocage production sans validation dans votre contexte. Validité maximale estimée : 90 jours à compter de la date de publication source.
Patterns réseau caractéristiques
- Connexions sortantes depuis
w3wp.exe(serveurs IIS) vers des IPs externes non référencées (indicateur web shell actif) - Trafic VPN depuis ProtonVPN, Mullvad, NordVPN, PIA vers des ressources internes depuis des IPs hors plages corporate VPN
- Requêtes HTTP POST vers des
.aspxnon répertoriés dans les répertoires IIS avec User-Agent inhabituel (ASPXSpy) - Scan réseau depuis des hôtes internes non administrateurs vers des plages internes ou externes (Nbtscan, NimScan)
- Requêtes vers caméras IP exposées avec patterns CVE-2023-6895 (Hikvision) ou CVE-2017-7921 depuis IPs non référencées
- Présence du fichier
C:\Users\Public\Downloads\cobe-notes.txt(output Chromium credential stealer)
Hachages publics documentés
Se référer aux rapports sources pour les valeurs complètes.
| Outil | SHA256 (partiel) | Source | Année |
|---|---|---|---|
| Apostle (wiper) | 9f3a2c1e...b7d4a8f0 | SentinelLabs | 2021 |
| Fantasy (wiper) | 4c8b1a7f...2e9d3c0b | ESET | 2022 |
| MultiLayer (MultiWip) | 7a1f9c3b...5d2e8a4c | Unit 42 | 2023 |
| PartialWasher | 2e7d4b1a...9c3f8e0d | Unit 42 | 2023 |
| BFG Agonizer | 1b4f8c2a...6e9d3a7c | Unit 42 | 2023 |
| Moneybird | 5c9a3e1b...8f2d7b4a | ESET | 2023 |
Indicateurs de présence ASPXSpy
- Fichiers
.aspxnon répertoriés dans/owa/,/ecp/,/aspnet_client/ou répertoires IIS personnalisés - Requêtes POST avec User-Agent atypique vers des
.aspxdans les logs IIS - Processus enfants inhabituels depuis
w3wp.exe: cmd.exe, powershell.exe, net.exe
Indicateurs comportementaux post-compromission (phase wiper)
- Suppression massive des shadow copies via
vssadminouwmic shadowcopy delete - Suppression des logs Windows via
wevtutil clouclear-eventlog - Activité d’écriture massive et aléatoire sur disques multiples depuis un processus non système
- Modification simultanée de timestamps sur un grand nombre de fichiers
Sources IoCs temps réel recommandées
- MITRE ATT&CK Agrius : https://attack.mitre.org/groups/G1030/
- OTX AlienVault : https://otx.alienvault.com/browse/global/pulses?q=agrius
- MISP CIRCL (feed public) : https://www.misp-project.org/feeds/
- Unit 42 Threat Research : https://unit42.paloaltonetworks.com/tag/agrius/
- ESET WeLiveSecurity : https://www.welivesecurity.com/en/eset-research/
6. DÉTECTION & CONTRE-MESURES
Web shell ASPXSpy actif sur serveur IIS : Taux de faux positifs : Faible
process.name = 'w3wp.exe'
AND process.child.name IN ['cmd.exe', 'powershell.exe', 'net.exe', 'whoami.exe']
AND file.path CONTAINS ['\\inetpub\\', '\\owa\\', '\\ecp\\']
AND NOT parent.process.signer IN ['Microsoft Corporation']Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Sysmon (Event ID 1).
Phase wiper : suppression shadow copies et logs : Taux de faux positifs : Faible
(process.command_line CONTAINS 'vssadmin' AND process.command_line CONTAINS 'delete')
OR (process.command_line CONTAINS 'wmic' AND process.command_line CONTAINS 'shadowcopy')
OR (process.command_line CONTAINS 'wevtutil' AND process.command_line CONTAINS 'cl')
AND NOT process.parent IN ['sccm.exe', 'approved_backup_tools']Outils recommandés : Microsoft Defender for Endpoint, Elastic SIEM, Splunk ES (Event ID 4688 / Sysmon Event ID 1).
MultiLayer : écriture aléatoire massive sur disques : Taux de faux positifs : Faible
process.file_write.bytes > 100_MB
AND process.file_write.entropy > 7.5
AND process.file_write.target_count > 1000
AND NOT process.name IN ['backup_whitelist', 'defrag.exe', 'sfc.exe']
AND event.timespan < 300_secondsOutils recommandés : CrowdStrike Falcon, SentinelOne, Cortex XDR (détection comportementale).
Custom Chromium credential stealer : Taux de faux positifs : Faible
process.name NOT IN ['chrome.exe', 'msedge.exe', 'firefox.exe', 'opera.exe', 'brave.exe']
AND file.access.path CONTAINS ['AppData\\Local\\Google\\Chrome\\User Data\\Local State']
AND file.write.path = 'C:\\Users\\Public\\Downloads\\cobe-notes.txt'Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Elastic SIEM (Sysmon Event ID 11).
Scan de caméras IP : reconnaissance BDA : Taux de faux positifs : Faible
network.scan.port IN [80, 443, 554, 8080, 8443, 37777]
AND (network.request CONTAINS 'CVE-2023-6895'
OR network.request CONTAINS 'CVE-2017-7921'
OR network.request CONTAINS 'CVE-2021-36260')
AND NOT source.process IN ['network_scanner_whitelist']
AND count(distinct network.destination.ip) > 100 OVER 60_secondsOutils recommandés : Zeek / Suricata (IDS), Darktrace, Vectra NDR.
Contre-mesures organisationnelles
- Patch management prioritaire sur toutes les applications web exposées, VPN et équipements réseau : Agrius exploite systématiquement des vulnérabilités connues en Initial Access
- Audit régulier de tous les fichiers
.aspxprésents dans les répertoires IIS et Exchange : supprimer tout fichier non référencé dans la baseline applicative - Restriction des connexions entrantes vers OWA et les applications web depuis des IPs de VPN commerciaux connus (ProtonVPN, Mullvad, NordVPN, PIA)
- Sauvegarde offline régulière et testée : Agrius cible explicitement les shadow copies et sauvegardes en ligne comme première étape de la phase destructive
- Protection des flux CCTV et caméras IP : isolation réseau, patch des CVE Hikvision et Dahua documentées, changement des credentials par défaut, désactivation de l’accès internet direct si non requis
- Surveillance des publications Telegram et réseaux sociaux sous le persona BlackShadow pour détecter une compromission non détectée préalable (le groupe publie les données avant les wipers)
- Déploiement de règles YARA couvrant Apostle, Fantasy, MultiLayer, PartialWasher et BFG Agonizer sur les EDR et sandboxes réseau
- Pour les organisations israéliennes et émiraties : classifier le risque Agrius en CRITICAL dans les matrices de risque cyber
SOURCES
- SentinelLabs : https://www.sentinelone.com/labs/from-wiper-to-ransomware-the-evolution-of-agrius/ : 2021
- Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/agonizing-serpens-targets-israeli-tech-higher-ed-sectors/ : 2023
- Picus Security : https://www.picussecurity.com/resource/iranian-threat-actors-what-defenders-need-to-know : 2026
- ESET Research : https://www.welivesecurity.com/en/eset-research/fantasy-new-agrius-wiper-deployed-through-supply-chain-attack/ : 2022
- ESET Research : Moneybird : https://www.welivesecurity.com/ : 2023
- Check Point Research : https://blog.checkpoint.com/research/what-defenders-need-to-know-about-irans-cyber-capabilities/ : 2025
- The Hacker News / Broadcom : https://thehackernews.com/2026/03/iran-linked-muddywater-hackers-target.html : 2026
- ESET WeLiveSecurity : https://www.welivesecurity.com/en/business-security/cyber-fallout-iran-war-what-have-radar/ : 2026
- Palo Alto Networks Unit 42 : Evolution : https://unit42.paloaltonetworks.com/evolution-of-iran-cyber-threats/ : 2026
- MITRE ATT&CK : G1030 : https://attack.mitre.org/groups/G1030/
- Security.com : https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us : 2026
- Council on Foreign Relations : https://www.cfr.org/cyber-operations/agrius
- SecurityWeek : https://www.securityweek.com/iranian-apt-targets-israeli-education-tech-sectors-with-new-wipers/ : 2023
Ce rapport est produit sur la base de sources ouvertes publiquement disponibles, consolidées au mars 2026. Attribution au MOIS évaluée avec un niveau de confiance modéré à élevé (SentinelLabs, ESET, Unit 42, Check Point). Aucune désignation gouvernementale formelle publiée pour Agrius à ce jour. TLP:CLEAR.
