CTI & OSINT

FICHE DE RENSEIGNEMENT – APT33

by  • 

TLP:CLEAR | Analystes CTI | Mise à jour : Mars 2026

1. IDENTIFICATION & ATTRIBUTION

Dénominations (alias connus par vendor)

Le groupe est suivi sous les dénominations suivantes selon les vendors : APT33 (Mandiant/FireEye, dénomination de référence), Elfin / Elfin Team (Broadcom/Symantec), Refined Kitten (CrowdStrike), Peach Sandstorm (Microsoft, anciennement HOLMIUM), MAGNALLIUM (Dragos), COBALT TRINITY (SecureWorks), ATK35, TA451, G0064 (MITRE ATT&CK) (1)(2)(3)(4).

Origine

Iran.

Sponsor présumé

Le groupe est évalué comme opérant pour le compte du gouvernement iranien, avec une affiliation probable à l’Islamic Revolutionary Guard Corps (IRGC) (1)(2). L’attribution repose sur plusieurs lignes de preuve convergentes : artefacts en langue Farsi dans les malwares custom (DropShot, ShapeShift), patterns d’activité opérationnelle alignés sur l’heure standard iranienne (IRST), inactivité documentée pendant le week-end iranien (jeudi après-midi et vendredi) (8)(12). Le handle xman_1365_x, identifié dans les chemins PDB du backdoor TurnedUp, a été lié à l’Institut Nasr iranien, lui-même associé à l’Iranian Cyber Army (8).

Niveau de sophistication

Élevé et en progression constante. Le groupe a évolué de campagnes reposant sur du spearphishing basique et des malwares commodity vers des opérations cloud-native combinant password spraying massif, infrastructure C2 Azure frauduleuse et backdoors custom (Tickler, FalseFont). Cette évolution est qualifiée de matériellement plus sophistiquée par rapport aux capacités antérieures (5)(12).

Motivation

Espionnage stratégique — collecte de renseignement technique et propriété intellectuelle dans les secteurs aérospatial, défense et énergie. Capacité destructrice latente documentée via les liens avec le wiper ShapeShift et les attaques Shamoon (1)(4).

Secteurs ciblés

Aérospatial, défense, industrie de base de défense (DIB), satellite/espace, énergie (pétrole, gaz, pétrochimie), gouvernement, éducation (utilisé comme infrastructure d’accès), pharmaceutique (2)(3)(5).

Zones géographiques

États-Unis (cible principale), Arabie Saoudite, Corée du Sud, Émirats Arabes Unis, Royaume-Uni, Belgique, Australie (2)(3)(5).

2. INFRASTRUCTURE & TTPs

Infrastructure C2

Entre avril et juillet 2024, le groupe a exploité une infrastructure Microsoft Azure hébergée dans des abonnements frauduleux contrôlés par l’attaquant pour le command-and-control (5). Les abonnements ont été créés via des comptes Outlook et des comptes éducation compromis disposant d’entitlements Azure for Students (5)(10). Cette approche dissimule le trafic malveillant dans le trafic cloud légitime des entreprises, rendant l’attribution et la détection difficiles (4). Historiquement, le groupe a également utilisé des fournisseurs d’hébergement iraniens et des RATs commodity pour des opérations moins critiques (1)(2).

Tableau TTPs MITRE ATT&CK

PhaseTechniqueID ATT&CK
Initial AccessSpearphishing Attachment (HTA, archives)T1566.001
Initial AccessSpearphishing LinkT1566.002
Initial AccessPassword Spraying (user-agent : go-http-client)T1110.003
Initial AccessSocial Engineering via LinkedIn (profils fictifs)T1566.003
ExecutionUser Execution — malicious HTA / archiveT1204.002
ExecutionExploitation CVE-2017-11774 (Outlook Home Page)T1203
ExecutionExploitation CVE-2018-20250 (WinRAR)T1203
PersistenceRegistry Run Keys (SharePoint.exe / Tickler)T1547.001
PersistenceScheduled TasksT1053.005
Defense EvasionDLL Sideloading (signed binaries légitimes)T1574.001
Defense EvasionPEB Traversal (contournement hooks API)T1027
Defense EvasionMasquerading (.pdf.exe, archives ZIP leurres)T1036
Credential AccessPassword Spraying (échelle massive)T1110.003
Credential AccessCredential Dumping (LSASS, Mimikatz, procdump)T1003.001
Credential AccessGolden SAML (vol de clés privées AD FS)T1606.002
DiscoveryAD Explorer (snapshots Active Directory)T1087.002
DiscoveryAzureHound / Roadtools (énumération cloud Entra ID)T1538
Lateral MovementSMB (Server Message Block)T1021.002
CollectionData from Cloud StorageT1530
Command & ControlInfrastructure Azure frauduleuseT1583.006
Command & ControlRMM tools légitimes (AnyDesk)T1219
Command & ControlHTTP C2 sur ports non-standard (808, 880)T1071.001
ImpactDisk Wipe (ShapeShift — capacité latente)T1561.001

Sources : (1)(2)(3)(4)(5)(6)(9)(10)

3. MALWARES & TOOLING

Tickler

  • Nom : Tickler
  • Type : Backdoor multi-stage custom
  • Fonction : Premier sample — collecte les informations réseau de l’hôte et les envoie au serveur C2 via une requête HTTP POST en se servant d’un document PDF leurre. Second sample — fonctionnalité de Trojan dropper pour télécharger des payloads depuis le C2, notamment un backdoor, un script batch pour la persistence, et des fichiers légitimes utilisés pour le DLL sideloading (5).
  • Canal C2 / particularités : Infrastructure Azure frauduleuse, ports HTTP non-standard (808, 880). Technique PEB traversal pour contournement des hooks API. Distribué dans des archives ZIP se faisant passer pour des documents PDF (5)(10).
  • Campagne d’identification : Campagne Peach Sandstorm, avril-juillet 2024 (5)(6).

FalseFont

  • Nom : FalseFont
  • Type : Backdoor custom
  • Fonction : Fournit un accès distant aux systèmes compromis, l’exécution de fichiers, et le transfert de fichiers vers les serveurs C2. Premier observé dans la nature début novembre 2023 (13).
  • Canal C2 : HTTPS.
  • Campagne d’identification : Campagnes ciblant la Defense Industrial Base (DIB), novembre 2023 (6)(13).

TurnedUp (TURNEDUP)

  • Nom : TurnedUp
  • Type : Backdoor custom
  • Fonction : Backdoor pour l’exfiltration de données et la surveillance. Artefact d’attribution clé : handle xman_1365_x retrouvé dans les chemins PDB des samples (8).
  • Canal C2 : HTTP/HTTPS.
  • Campagne d’identification : Campagnes 2013-2019 (1)(8).

DropShot (DROPSHOT)

  • Nom : DropShot
  • Type : Dropper
  • Fonction : Dropper signature du groupe, lié au wiper ShapeShift. Contient des artefacts en Farsi. Seul groupe documenté utilisant DropShot (1)(3).
  • Canal C2 : HTTP.
  • Campagne d’identification : Documenté à partir de 2017 (1)(4).

ShapeShift (SHAPESHIFT)

  • Nom : ShapeShift
  • Type : Wiper destructeur
  • Fonction : Wiper lié aux attaques Shamoon 2016. Artefacts Farsi. Capacité de destruction de données et d’infrastructures critiques. Capacité évaluée comme latente et pré-positionnée (3)(4).
  • Canal C2 : Sans C2 actif (payload destructeur autonome).
  • Campagne d’identification : Lié aux campagnes 2016-2018 (1)(4).

ALMA Backdoor

  • Nom : ALMA
  • Type : Implant PowerShell-based
  • Fonction : Implant introduit en 2024, ciblant des contractors de défense et entreprises logistiques. Orienté espionnage et exfiltration de credentials (2).
  • Campagne d’identification : 2024, Amérique du Nord et région du Golfe (2).

Outils tiers utilisés

  • PoshC2, PowerShell Empire : frameworks C2 open source (1)
  • Remcos, DarkComet, QuasarRAT, PupyRAT : RATs commodity pour opérations non critiques (4)(10)
  • AzureHound, Roadtools : énumération cloud Entra ID / Azure Resource Manager (5)
  • AnyDesk : RMM tool légitime pour la persistence (5)
  • AD Explorer (Sysinternals) : snapshots Active Directory (5)
  • Mimikatz, procdump : credential dumping (4)(10)
  • Ruler : exploitation Outlook Home Page (1)

4. HISTORIQUE DES CAMPAGNES

PériodeCampagneCiblesVecteurOutillage
2013-2016Opérations d’espionnage initialesAérospatial, défense, énergie — USA, Arabie Saoudite, Corée du SudSpearphishing HTA, job-luresTurnedUp, DropShot, commodity RATs (1)
2016-2018Campagnes destructrices présuméesInfrastructure énergie, secteur pétrolier saoudienSpearphishingDropShot, ShapeShift (lien Shamoon présumé) (1)(4)
2018-2019Exploitation WinRAR / OutlookOrganisations USA, Moyen-Orient, EuropeExploitation CVE-2018-20250, CVE-2017-11774DropShot, commodity RATs (7)
Fév. 2023 – 2024Password spray massif mondialDéfense, satellite, pharmaceutique, gouvernement, éducationPassword spraying (go-http-client)Credentials valides, RMM tools (3)(5)
Nov. 2023FalseFont — DIB campaignDefense Industrial Base mondialeSpearphishing, password sprayFalseFont backdoor (6)(13)
Avr.-Juil. 2024Tickler — campagne Azure C2Gouvernement, défense, espace, pétrole/gaz — USA, UAEPassword spray + social engineering LinkedInTickler, Azure frauduleux, AzureHound, AD Explorer, SMB (5)(10)
2024ALMA deploymentContractors défense, logistique — Amérique du Nord, GolfePhishing, credential harvestingALMA implant PowerShell (2)
2025Energy sector reconnaissanceSociétés énergétiques, oilfield servicesPhishing, credential harvestingReconnaissance ICS/SCADA (2)

5. INDICATEURS DE COMPROMISSION (IOCs)

⚠️ Avertissement de péremption : Les IOCs ci-dessous sont issus de sources publiques datant de 2017-2025. Ils ont une durée de validité limitée. Toute utilisation dans un contexte de blocage ou de détection doit faire l’objet d’une vérification préalable de fraîcheur auprès de plateformes CTI temps réel. Ne pas utiliser comme base de blocage sans validation.

Patterns réseau caractéristiques

  • User-agent distinctif dans les campagnes de password spraying : go-http-client (3)(5)
  • Trafic C2 HTTP sur ports non-standard : 808 et 880 (4)(10)
  • Connexions vers infrastructure Microsoft Azure depuis des tenants inhabituels ou nouvellement créés (5)
  • Trafic FTP à volume élevé (indicateur d’exfiltration historique) (4)
  • Requêtes HTTP POST vers des URI Azure hébergeant des payloads Tickler (5)

Domaines historiques (sources publiques)

Domaines impersonant des entités aérospatiales légitimes enregistrés lors des campagnes 2016-2019 : Boeing, Alsalam Aircraft Company, Northrop Grumman, Vinnell. Infrastructure régulièrement renouvelée (8). Se référer aux flux IOC temps réel.

Hachages publics documentés

Hachages associés à Tickler (juillet 2024), FalseFont (novembre 2023), TurnedUp et DropShot disponibles dans les sources (1)(5)(6)(13). Non reproduits dans cette fiche en raison de leur péremption rapide.

User-Agents anormaux observés

  • go-http-client — identifiant des campagnes de password spraying depuis février 2023 (3)(5)

Sources IOCs temps réel recommandées

  • MITRE ATT&CK — APT33 (G0064) (9)
  • Malpedia — APT33 actor card (1)
  • Microsoft Security Blog — Peach Sandstorm (5)(13)
  • Mandiant / Google Cloud Threat Intelligence (1)
  • Anvilogic Threat Reports (10)

6. DÉTECTION & CONTRE-MESURES

Technique prioritaire 1 — Password Spraying (T1110.003)

Logique de détection (SIEM/IdP) :

ALERT IF :
  auth.failed_attempts > 5
  AND auth.target_accounts > 50
  AND auth.timeframe < 3600s
  AND auth.user_agent == "go-http-client"
  AND auth.source_ip NOT IN known_corp_ranges

Outils recommandés : Surveillance des logs d’authentification Azure AD / Entra ID, alerting sur user-agent go-http-client, Microsoft Entra ID Protection, MFA phishing-resistant obligatoire (3)(5).

Technique prioritaire 2 — Abus d’infrastructure Azure / Cloud Supply Chain (T1583.006)

Logique de détection (CASB / Cloud Security) :

ALERT IF :
  azure.subscription.created_by IN [education_sector_accounts]
  AND azure.tenant.age < 30d
  AND azure.resource.outbound_connections > threshold
  AND azure.subscription.type == "Azure for Students"

Outils recommandés : Microsoft Defender for Cloud Apps, audit des tenants Azure créés depuis des comptes éducation, surveillance des abonnements Azure for Students à activité réseau élevée (4)(5)(10).

Technique prioritaire 3 — DLL Sideloading via binaires signés (T1574.001)

Logique de détection (EDR) :

ALERT IF :
  process.name IN ["SharePoint.exe", "known_signed_binary"]
  AND dll.loaded NOT IN [expected_dll_whitelist]
  AND dll.path NOT IN [system_directories]
  AND process.parent IS NOT [legitimate_installer]

Outils recommandés : EDR avec contrôle d’intégrité des DLL chargées, audit des entrées Registry Run keys associées à des binaires signés Microsoft (4)(10).

Technique prioritaire 4 — Golden SAML / AD FS compromise (T1606.002)

Logique de détection (SIEM / IdP) :

ALERT IF :
  saml.token.issuer NOT IN [known_adfs_servers]
  OR saml.token.signing_key != [registered_key_fingerprint]
  OR saml.token.attributes CONTAIN [unusual_privilege_claims]
  AND saml.token.source_ip NOT IN [corp_ranges]

Outils recommandés : Surveillance des événements AD FS (Event ID 307, 510), détection d’accès aux clés privées AD FS, anomalies de sign-in Microsoft Entra ID (4)(5).

Contre-mesures organisationnelles

  • Déploiement obligatoire de MFA phishing-resistant (FIDO2/passkey) sur l’ensemble des accès cloud, VPN et comptes à privilèges — mesure la plus efficace contre le password spraying (3)(5)(6)
  • Surveillance et audit continus des tenants Azure créés depuis des comptes de type éducation (4)(5)
  • Revue des droits d’accès aux serveurs AD FS ; contrôle d’accès aux clés privées de signature SAML (5)
  • Détection des accès à LSASS et exécution d’outils de credential dumping via EDR (4)(10)
  • Blocage ou surveillance stricte des ports HTTP non-standard (808, 880) en sortie depuis les endpoints (4)(10)
  • Intégration de la détection du user-agent go-http-client dans les règles SIEM/proxy (3)(5)
  • Chasse aux artefacts Tickler : DLL sideloading depuis des binaires signés, entrées Registry Run keys inhabituelles (4)(10)
  • Sensibilisation aux profils LinkedIn frauduleux (étudiants, recruteurs, développeurs fictifs) utilisés pour la collecte de cibles (3)(5)
  • Plan de résilience orienté wiper : capacité destructrice ShapeShift/Shamoon évaluée comme latente ; sauvegardes offline testées et procédures de reconstruction en place (4)(6)
  • Séparation réseau OT/ICS du réseau IT pour limiter la propagation potentielle vers les systèmes industriels (4)(6)

SOURCES

  1. Malpedia — APT33 (Threat Actor) : https://malpedia.caad.fkie.fraunhofer.de/actor/apt33
  2. Brandefense — APT33 (Elfin / Refined Kitten): Iran’s Longstanding Cyber-Espionage Arm (nov. 2025) : https://brandefense.io/blog/apt33-apt-2025/
  3. TerraZone — APT33: A Complete Guide to Iran’s ‘Elfin’ Cyber Espionage Group (nov. 2025) : https://terrazone.io/apt-3/
  4. Brandefense — APT33/Peach Sandstorm: 2025 Threat Forecast And Analysis (nov. 2025) : https://brandefense.io/blog/apt33-2025-threat-forecast-and-analysis/
  5. Microsoft Security Blog — Peach Sandstorm deploys new custom Tickler malware (août 2024) : https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations/
  6. BleepingComputer — New Tickler malware used to backdoor US govt, defense orgs (août 2024) : https://www.bleepingcomputer.com/news/security/APT33-Iranian-hacking-group-uses-new-tickler-malware-to-backdoor-us-govt-defense-orgs/
  7. Broadcom/Symantec — Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S. : https://symantec-enterprise-blogs.security.com/threat-intelligence/elfin-apt33-espionage
  8. Wikipedia — Elfin Team : https://en.wikipedia.org/wiki/Elfin_Team
  9. MITRE ATT&CK — APT33, G0064 : https://attack.mitre.org/groups/G0064/
  10. Anvilogic — APT33 Targets Aerospace to Oil with Password Spraying Attacks : https://www.anvilogic.com/threat-reports/apt33-attacks-and-azure
  11. ThreatIntelReport — Threat Actor Profile: APT33 (fév. 2026) : https://www.threatintelreport.com/2026/02/21/threat_actor_profiles/threat-actor-profile-apt33/
  12. Hedgehog Security — APT33: The Aerospace Stalker — Cyber Threat Profile : https://www.hedgehogsecurity.co.uk/blog/apt33-the-aerospace-stalker
  13. BleepingComputer — Microsoft: Hackers target defense firms with new FalseFont malware (déc. 2023) : https://www.bleepingcomputer.com/news/security/microsoft-hackers-target-defense-firms-with-new-falsefont-malware/
  14. CrowdStrike — Who is Refined Kitten (APT33)? : https://www.crowdstrike.com/en-us/blog/who-is-refined-kitten/
  15. MITRE ATT&CK — Référentiel tactiques et techniques : https://attack.mitre.org/

Cette fiche est produite sur la base de sources publiques ouvertes (vendors, CERT, chercheurs indépendants) consolidées au 16 mars 2026. Elle ne repose sur aucune source classifiée. L’attribution à l’IRGC iranien est évaluée à haute confiance sur la base de la convergence multi-vendors (Mandiant, Microsoft, CrowdStrike, Symantec, Dragos) et d’artefacts techniques (Farsi, timing opérationnel, infrastructure). Les IOCs présentent une durée de vie limitée et doivent être validés avant tout usage opérationnel. Fiche distribuable sans restriction (TLP:CLEAR).