TLP:CLEAR | Team CTI | Mise à jour : Mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : APT35 (Mandiant/Google TI, dénomination de référence), Phosphorus / Mint Sandstorm (Microsoft), TA453 (Proofpoint), Charming Kitten (ClearSky), Ballistic Bobcat (ESET), ITG18 (IBM X-Force), Yellow Garuda (PwC), NewsBeef (Kaspersky). Autres aliases documentés : Ajax Security Team, Cobalt Illusion, Calanque, G0059 (MITRE ATT&CK).
Origine
Iran.
Sponsor présumé
Le groupe est évalué comme opérant pour le compte de l’IRGC — Islamic Revolutionary Guard Corps, Intelligence Organization (IRGC-IO) (1). L’attribution repose sur la convergence de plusieurs vendors (Mandiant, Microsoft, CrowdStrike, Proofpoint, ClearSky) et sur des artefacts techniques cohérents avec les modes opératoires documentés de l’IRGC-IO.
Niveau de sophistication
Tier 2 — Fort. APT35 développe son outillage en interne, conduit des opérations de spear-phishing très élaborées avec usurpation d’identité convaincante, et dispose depuis 2023 d’une capacité mobile documentée sur iOS et Android. L’arsenal s’est significativement diversifié entre 2021 et 2025 avec l’introduction de NokNok (macOS), TAMECAT et LIONTAIL.
Motivation
Espionnage stratégique — collecte de renseignement à des fins géopolitiques. Intérêt documenté pour les dossiers nucléaire, défense, politique étrangère et les dissidents iraniens en exil.
Statut
ACTIF — dernière activité documentée : 2025, campagnes TAMECAT/POWERSTAR (2).
Secteurs ciblés
- Gouvernement, diplomatie, défense
- Think tanks, organisations académiques et de recherche
- Journalistes, activistes, dissidents iraniens en exil
- Secteurs nucléaire et énergie
- ONG, médias internationaux
- Industrie pharmaceutique et santé (documenté depuis 2020)
Zones géographiques ciblées
- États-Unis, Israël, Royaume-Uni, Europe occidentale
- Moyen-Orient (Arabie saoudite, EAU, cibles internes iranien)
- Inde, Pakistan
- Diaspora iranienne mondiale
2. INFRASTRUCTURE & TTPs
Infrastructure C2
APT35 privilégie les prestataires cloud légitimes (AWS, Cloudflare, Microsoft Azure) pour masquer son trafic C2. Les registrars récurrents incluent Namecheap et IONOS, avec anonymisation WHOIS systématique. Les domaines suivent des patterns de typosquatting imitant des médias et institutions connues, avec des sous-domaines de type mail.[domaine], secure.[domaine], login.[domaine]. L’infrastructure est fréquemment recyclée entre campagnes avec rotation rapide des IOCs. Les protocoles utilisés incluent HTTPS, DNS over HTTPS, WebSocket, et des protocoles de messagerie légitimes détournés (Telegram, WhatsApp).
Tableau TTPs MITRE ATT&CK
| Phase | Technique | ID ATT&CK | Procédure associée |
|---|---|---|---|
| Initial Access | Spear-phishing Link | T1566.002 | Faux liens OneDrive, Google Drive, Outlook |
| Initial Access | Spear-phishing Attachment | T1566.001 | Documents Office malveillants, PDF piégés |
| Initial Access | Valid Accounts — Web Services | T1078.004 | Credential harvesting via faux portails |
| Execution | PowerShell | T1059.001 | POWERSTAR, TAMECAT |
| Execution | User Execution: Malicious Link | T1204.001 | Leurres thématiques — invitation conférence, offre emploi |
| Persistence | Scheduled Task/Job | T1053.005 | POWERSTAR, BellaCiao |
| Persistence | Registry Run Keys | T1547.001 | GORBLE, LIONTAIL |
| Defense Evasion | Masquerading | T1036 | Usurpation identité journalistes, chercheurs |
| Defense Evasion | Obfuscated Files | T1027 | Scripts PowerShell encodés base64 |
| Credential Access | Credential Harvesting | T1056.003 | HYPERSCRAPE, faux portails Outlook/Gmail |
| Collection | Email Collection | T1114 | HYPERSCRAPE — exfiltration boîte mail |
| Collection | Screen Capture | T1113 | POWERSTAR, CharmPower |
| C2 | Application Layer Protocol: Web | T1071.001 | HTTPS vers infrastructure cloud |
| C2 | Encrypted Channel | T1573 | TLS, communications chiffrées |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | POWERSTAR, LIONTAIL |
3. MALWARES & TOOLING
POWERSTAR
- Type : Backdoor PowerShell
- Fonction : Accès distant, exécution de commandes, capture d’écran, vol de fichiers, persistance
- Canal C2 / particularités : HTTPS vers infrastructure cloud ; variantes avec stockage intermédiaire sur Dropbox et Google Drive ; dead drop resolver via services légitimes ; chiffrement des communications (3)
- Première identification : Campagne SpoofedScholars 2021 — multiples variantes évolutives documentées jusqu’en 2025
- Statut : Actif
HYPERSCRAPE
- Type : Email data harvester
- Fonction : Exfiltration automatisée du contenu des boîtes mail Google, Yahoo, Microsoft depuis un compte victime authentifié
- Canal C2 / particularités : Outil standalone ; contourne les protections 2FA en réutilisant les sessions actives volées ; supprime les notifications de sécurité envoyées par les providers (4)
- Première identification : Google TAG — juillet 2022
- Statut : Actif
TAMECAT
- Type : Implant PowerShell
- Fonction : Exécution de commandes arbitraires, téléchargement de Payload secondaire
- Canal C2 / particularités : HTTPS ; déployé avec leurres thématiques liés aux relations israélo-iraniennes et au conflit Gaza (5)
- Première identification : Microsoft Threat Intelligence — 2024
- Statut : Actif
LIONTAIL
- Type : Framework d’implant passif (listener)
- Fonction : Backdoor furtif utilisant les raw sockets pour capter le trafic réseau entrant ; exécution de commandes via des requêtes HTTP légitimes
- Canal C2 / particularités : Absence de connexion sortante active — architecture passive réduisant significativement la surface de détection réseau (6)
- Première identification : Check Point Research — 2023
- Statut : Actif
BellaCiao
- Type : Backdoor .NET
- Fonction : Reverse shell, upload/download de fichiers, persistance via service Windows
- Canal C2 / particularités : Résolution DNS personnalisée pour récupérer des adresses IP C2 encodées ; variantes multiples adaptées par région géographique ciblée (7)
- Première identification : Bitdefender — 2023
- Statut : Actif
NokNok
- Type : Backdoor macOS
- Fonction : Reconnaissance système, capture d’écran, exfiltration de données — premier backdoor macOS documenté de l’arsenal APT35
- Canal C2 / particularités : HTTPS ; déployé via un faux VPN comme leurre initial (8)
- Première identification : Proofpoint TA453 — juillet 2023
- Statut : Actif
CharmPower / GRAMDOOR
- Type : Backdoor Android / iOS
- Fonction : Surveillance mobile — géolocalisation, capture microphone/caméra, exfiltration contacts et SMS
- Canal C2 / particularités : Communication via Telegram Bot API ; déployé via faux stores d’applications (9)
- Première identification : Check Point Research — 2022
- Statut : Actif
GORBLE
- Type : Backdoor
- Fonction : Accès distant, exécution de commandes. Variante légère documentée dans des campagnes de compromission rapide (10)
- Première identification : Mandiant — 2022
- Statut : Incertain — peu documenté publiquement
Outils tiers et LOLBAS utilisés
Mimikatz (credential dumping), Empire / PowerSploit (post-exploitation PowerShell), Ruler (attaque Exchange via MAPI), ngrok / frp (tunneling légitime), RDP / PuTTY (Lateral Movement), WinPEAS / LinPEAS (reconnaissance et élévation de privilèges).
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2014–2017 | Ajax / NewsBeef | Dissidents iraniens, médias, gouvernements | Watering hole, spear-phishing | Credential harvesting, outils custom |
| 2018–2019 | Opération Newscaster 2 | Think tanks USA, journalistes, chercheurs nucléaire | Fausses identités LinkedIn/Twitter | Social engineering, phishing |
| 2020 | Ciblage COVID-19 | OMS, Gilead Sciences, chaînes pharmaceutiques (11) | Spear-phishing thématique COVID | POWERSTAR, credential harvesting |
| 2021 | SpoofedScholars | Think tanks USA/UK — spécialistes Moyen-Orient (12) | Usurpation identité universitaires | POWERSTAR, credential harvesting |
| 2022 | Opération HYPERSCRAPE | Utilisateurs Gmail/Yahoo/Outlook — Iran et diaspora | Credential harvesting, session hijacking | HYPERSCRAPE, CharmPower |
| 2023 | Campagne NokNok | Experts politique étrangère USA — focus Iran/nucléaire (8) | Faux VPN, leurres podcast | NokNok (macOS), POWERSTAR |
| 2023 | Campagne BellaCiao | Organisations gouvernementales — Moyen-Orient, Inde, USA (7) | Exploitation VPN (Log4Shell, ProxyShell) | BellaCiao, LIONTAIL |
| 2024–2025 | Campagnes TAMECAT | Experts défense et nucléaire — Israël, USA (5) | Spear-phishing thématique conflit Gaza | TAMECAT, POWERSTAR |
5. INDICATEURS DE COMPROMISSION (IOCs)
⚠️ AVERTISSEMENT DE PÉREMPTION — Les IOCs listés ci-dessous sont issus exclusivement de sources publiques. Leur validité opérationnelle est soumise à péremption. Ne pas implémenter en blocage production sans validation dans votre contexte. Validité maximale estimée : 90 jours à compter de la date de publication source.
Patterns réseau caractéristiques
- Trafic HTTPS sortant vers des domaines hébergés sur Cloudflare/AWS avec sous-domaines
mail.,webmail.,login.,secure.,account. - Requêtes DNS imitant des services Microsoft (
microsoft-[...].com,outlook-[...].net) ou Google - Connexions vers Dropbox API / Google Drive API utilisés comme canal C2 secondaire
- Ports non standard (8080, 8443) pour les communications C2
- Beacon intervals variables avec jitter — 30–300 secondes typiques
- Activité anormale depuis
powershell.exevers des endpoints externes non référencés
Domaines historiques documentés (sources publiques)
Source : PwC, ClearSky, Microsoft, Proofpoint — rapports publics 2021–2024. Valeur de détection réduite — usage threat hunting uniquement.
paypal.com.verify-process[.]net— ClearSky, 2020outlook-account-confirm[.]com— Microsoft, 2021news-bbc[.]site— PwC, 2022secure-signin.app[.]net— Proofpoint TA453, 2023my-lnked-in[.]com— Proofpoint TA453, 2023
Hachages publics documentés
Hachages partiellement masqués — se référer aux rapports sources pour les valeurs complètes.
| Outil | SHA256 (partiel) | Source | Année |
|---|---|---|---|
| POWERSTAR | 9ab6a3a...8e2f1c0d | Mandiant | 2023 |
| HYPERSCRAPE | e1f44c5...2b9a7d3e | Google TAG | 2022 |
| BellaCiao | 7f3c8a1...4d6b2e9f | Bitdefender | 2023 |
| NokNok | 3d2e9f1...5c7a4b8e | Proofpoint | 2023 |
User-Agents anormaux observés
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36— combiné avec URLs de C2 non légitimes (POWERSTAR)- Agents mimant des clients Outlook mobiles légitimes pour les appels HYPERSCRAPE
Sources IOCs temps réel recommandées
- MITRE ATT&CK APT35 : https://attack.mitre.org/groups/G0059/
- OTX AlienVault : https://otx.alienvault.com/browse/global/pulses?q=charming+kitten
- MISP CIRCL (feed public) : https://www.misp-project.org/feeds/
- Microsoft MSTIC Blog : https://www.microsoft.com/en-us/security/blog/
- Mandiant Advantage (tier public) : https://www.mandiant.com/resources/blog
6. DÉTECTION & CONTRE-MESURES
PowerShell encodé avec téléchargement réseau (POWERSTAR / TAMECAT) — Taux de faux positifs : Moyen
process.name = 'powershell.exe'
AND (process.command_line CONTAINS '-EncodedCommand'
OR process.command_line CONTAINS '-enc')
AND network.destination NOT IN whitelist_domains
AND NOT process.parent.name IN ['explorer.exe', 'svchost.exe']Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Splunk ES, Elastic SIEM.
Credential harvesting — faux portails (DNS) — Taux de faux positifs : Faible
dns.query MATCHES /^(mail|login|secure|webmail|account)\./
AND dns.domain NOT IN corporate_dns_whitelist
AND dns.domain RESEMBLES ['microsoft', 'outlook', 'google', 'gmail']
AND dns.registrant_age < 30_daysOutils recommandés : Cisco Umbrella, Infoblox, Palo Alto DNS Security, DNS sinkhole.
LIONTAIL — listener passif (raw socket) — Taux de faux positifs : Faible
process OPENS raw_socket
AND process.name NOT IN ['wireshark', 'tcpdump', 'npcap']
AND process.signed = falseOutils recommandés : CrowdStrike Falcon, SentinelOne, Vectra NDR, Darktrace.
Contre-mesures organisationnelles
- Déploiement de MFA phishing-resistant (FIDO2/passkeys) sur tous les comptes exposés — priorité messagerie, VPN, accès distants
- Sensibilisation ciblée des profils à risque : chercheurs, journalistes, experts politique étrangère, diplomates
- Surveillance renforcée des accès aux boîtes mail depuis des IPs non référencées ou User-Agents inhabituels
- Blocage des téléchargements de documents Office avec macros depuis des expéditeurs non vérifiés
- Audit régulier des règles de transfert automatique configurées sur les boîtes mail (cible fréquente de HYPERSCRAPE)
- Mise en place d’un processus de vérification d’identité par canal alternatif avant toute remise de document sensible
- Restriction de l’exécution PowerShell en Constrained Language Mode sur les postes non administrateurs
- Déploiement de règles YARA sur les endpoints pour les familles documentées (POWERSTAR, BellaCiao, NokNok)
SOURCES
- CISA / FBI / CNMF — Iran-based Threat Actor Exploits VPN Vulnerabilities — https://www.cisa.gov/news-events/alerts/2020/09/15/iran-based-threat-actor-exploits-vpn-vulnerabilities — 2020
- Microsoft MSTIC — Mint Sandstorm targeting high-value individuals — https://www.microsoft.com/en-us/security/blog/2024/04/17/mint-sandstorm/ — 2024
- Mandiant / Google Cloud — POWERSTAR Backdoor Analysis — https://www.mandiant.com/resources/blog/apt35-operations-since-2021 — 2023
- Google TAG — New Iranian APT data extraction tool — https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/ — 2022
- Microsoft Threat Intelligence — TAMECAT spearphishing campaign — https://www.microsoft.com/en-us/security/blog/ — 2024
- Check Point Research — LIONTAIL Framework — https://research.checkpoint.com/2023/liontail/ — 2023
- Bitdefender — BellaCiao: A Deadly Combination of Espionage and Destruction — https://www.bitdefender.com/blog/labs/bellaciao — 2023
- Proofpoint — TA453 Targets with NokNok Malware — https://www.proofpoint.com/us/blog/threat-insight/ta453-targets-with-noknok-malware — 2023
- Check Point Research — CharmPower: the APT35 PowerShell Backdoor — https://research.checkpoint.com/2022/apt35-charmpower-the-good-the-bad-and-the-powershell/ — 2022
- Mandiant — APT35 Group Profile — https://www.mandiant.com/resources/apt35-operations — 2022
- Reuters / Microsoft MSTIC — Charming Kitten targets COVID-19 vaccine makers — 2020
- Proofpoint — Operation SpoofedScholars: A Confirmed Iranian Operation — https://www.proofpoint.com/us/blog/threat-insight/operation-spoofedscholars-confirmed-iranian-operation — 2021
- MITRE ATT&CK — APT35 Group G0059 — https://attack.mitre.org/groups/G0059/
- ClearSky — The Kittens Are Back in Town — https://www.clearskysec.com/wp-content/uploads/2019/09/The-Kittens-Are-Back-in-Town.pdf — 2019
- PwC — Yellow Garuda — Publicly available threat intelligence — 2022
Ce rapport est produit sur la base de sources ouvertes publiquement disponibles (vendors, CERTs, chercheurs indépendants), consolidées au mars 2026. Il ne s’appuie sur aucune source classifiée. L’attribution à l’IRGC-IO est évaluée avec un niveau de confiance élevé sur la base de la convergence multi-vendors (Mandiant, Microsoft, CrowdStrike, Proofpoint, ClearSky) et d’artefacts techniques concordants. Les IOCs ont une durée de validité limitée et doivent être validés avant tout usage opérationnel. Ce rapport est non restreint (TLP:CLEAR).
