TLP:CLEAR | Team CTI | Mise à jour : Mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : APT39 (Mandiant/Google TI, dénomination de référence), Chafer (Symantec, CrowdStrike), REMIX KITTEN (CrowdStrike), Burgundy Sandstorm (Microsoft), Radio Serpens (ESET), COBALT HICKMAN (SecureWorks), ITG07 (IBM X-Force), TA454 (Proofpoint), Cadelspy (Symantec), Remexi (Kaspersky). Autres aliases documentés : Rana (front company MOIS), MechaFlounder (selon contexte), G0087 (MITRE ATT&CK).
Origine
Iran.
Sponsor présumé
Le groupe est évalué comme opérant pour le compte du MOIS — Ministry of Intelligence and Security (Vezarat-e Ettelaat va Amniat-e Keshvar), via la société écran Rana Intelligence Computing Company (Rana Corp), basée à Téhéran (1). L’attribution par le FBI, le Département du Trésor américain et le DOJ a été formalisée le 17 septembre 2020 avec désignation OFAC de Rana Corp et de personnes physiques associées. APT39 est distinct de l’IRGC-IO : il opère sous la tutelle du MOIS, le service de renseignement civil iranien, contrairement à APT35 (IRGC-IO) ou APT33 (IRGC). Cette distinction de sponsor est structurante pour la compréhension des objectifs et des cibles.
Niveau de sophistication
Tier 2 — Modéré à Fort. APT39 dispose d’un arsenal custom développé en interne (SEAWEED, CACHEMONEY, POWBAT, Remexi), combine outils propriétaires et outils publics (Mimikatz, Metasploit, EternalBlue), et conduit des campagnes de longue durée avec une patience opérationnelle documentée. Le groupe se distingue par sa spécialisation dans la collecte de données personnelles et la surveillance d’individus via des opérateurs de télécommunications et de voyages, plutôt que par une sophistication technique de premier rang. Depuis 2022, des rapports suggèrent un possible chevauchement ou absorption partielle par d’autres clusters iraniens, bien que des activités distinctes restent documentées sous ce tracking.
Motivation
Espionnage stratégique et surveillance individuelle — collecte de données personnelles (itinéraires de voyage, listes de contacts, données clients télécoms) pour le compte du MOIS à des fins de traçage, de surveillance de dissidents iraniens, et de collecte de renseignement sur des cibles d’intérêt pour l’Iran. La finalité est la surveillance humaine plutôt que le vol de propriété intellectuelle ou les opérations destructives.
Statut
SURVEILLANCE ACTIVE — dernière activité distinctement documentée sous ce tracking : 2023-2024. Des rapports indiquent un possible chevauchement avec d’autres clusters MOIS depuis 2022 (2). L’absence de campagnes publiquement attribuées à APT39 depuis 2024 sous ce label ne signifie pas une cessation d’activité, mais peut refléter une évolution du tracking par les vendors.
Secteurs ciblés
- Télécommunications (cible prioritaire documentée)
- Transport aérien, agences de voyage, industrie hôtelière
- Gouvernement et administrations publiques
- Secteur académique et recherche
- Technologies de l’information
- Logistique, transport et expédition maritime
- Dissidents iraniens, journalistes, militants des droits humains
Zones géographiques ciblées
- Moyen-Orient (Iran en interne, Arabie saoudite, EAU, Kuwait, Jordanie, Qatar)
- Afrique (Afrique subsaharienne — opérateurs télécoms)
- Europe occidentale (Espagne, France, Allemagne, Royaume-Uni)
- Amérique du Nord (États-Unis, Canada)
- Asie (Inde, Pakistan, Corée du Sud, Turquie)
- Asie du Sud-Est
2. INFRASTRUCTURE & TTPs
Infrastructure C2
APT39 enregistre des domaines imitant des services web légitimes et des organisations pertinentes pour les cibles visées. L’infrastructure C2 repose principalement sur des serveurs dédiés et VPS hébergés chez des registrars internationaux, avec anonymisation WHOIS. Le groupe exploite des web shells (ANTAK, ASPXSPY) sur des serveurs web compromis comme points de rebond. Les communications C2 utilisent majoritairement HTTPS vers des domaines légitimes-apparents. Une caractéristique notable est l’exploitation de ressources Outlook Web Access (OWA) compromises avec des credentials légitimes volés pour maintenir la persistance et conduire les opérations depuis des adresses IP de confiance. Le groupe partage historiquement des patterns d’infrastructure C2 avec APT34 (OilRig), confirmant des liens opérationnels au sein de l’écosystème MOIS (3).
Tableau TTPs MITRE ATT&CK
| Phase | Technique | ID ATT&CK | Procédure associée |
|---|---|---|---|
| Initial Access | Spear-phishing Link | T1566.002 | Liens vers domaines imitant services légitimes |
| Initial Access | Spear-phishing Attachment | T1566.001 | Documents Office malveillants, PDF piégés |
| Initial Access | Exploit Public-Facing Application | T1190 | Injection SQL sur serveurs web exposés, web shells |
| Initial Access | Valid Accounts — OWA | T1078.001 | Credentials volés, accès OWA externe |
| Execution | PowerShell | T1059.001 | POWBAT, SEAWEED, scripts post-compromission |
| Execution | Command and Scripting Interpreter | T1059 | Scripts Python (MechaFlounder), cmd.exe |
| Persistence | Web Shell | T1505.003 | ANTAK, ASPXSPY — sur serveurs web compromis |
| Persistence | Registry Run Keys | T1547.001 | SEAWEED, CACHEMONEY |
| Persistence | Scheduled Task/Job | T1053.005 | Remexi, POWBAT |
| Defense Evasion | Masquerading | T1036 | Domaines imitant services et entreprises légitimes |
| Defense Evasion | Obfuscated Files | T1027 | Encodage et chiffrement des payloads |
| Credential Access | OS Credential Dumping | T1003 | Mimikatz, SafetyKatz, Windows Credentials Editor |
| Credential Access | Brute Force | T1110 | Ncrack, attaques par force brute |
| Discovery | Network Service Scanning | T1046 | nbtscan, outils de reconnaissance réseau |
| Discovery | System Information Discovery | T1082 | Reconnaissance système automatisée |
| Lateral Movement | Remote Services | T1021 | PsExec, RDP, UltraVNC |
| Lateral Movement | Exploitation | T1210 | EternalBlue (MS17-010) sur réseaux internes |
| Collection | Keylogging | T1056.001 | Remexi — capture des frappes clavier |
| Collection | Screen Capture | T1113 | Remexi, SEAWEED |
| Collection | Browser Session Hijacking | T1185 | Collecte de l’historique de navigation |
| C2 | Application Layer Protocol : Web | T1071.001 | HTTPS vers serveurs C2 dédiés |
| C2 | Non-Application Layer Protocol | T1095 | Communications réseau bas niveau |
| Exfiltration | Exfiltration Over C2 Channel | T1041 | SEAWEED, CACHEMONEY, Remexi |
| Exfiltration | Archive Collected Data | T1560.001 | Compression et chiffrement avant exfiltration |
3. MALWARES & TOOLING
SEAWEED
- Type : Backdoor custom
- Fonction : Accès distant, exécution de commandes, capture d’écran, téléchargement et upload de fichiers, collecte d’informations système
- Canal C2 / particularités : HTTPS vers serveurs C2 dédiés ; persistence via registry run keys ; l’un des backdoors principaux du groupe avec CACHEMONEY (4)
- Première identification : Mandiant/FireEye — 2019
- Statut : Actif (usage documenté jusqu’en 2022-2023)
CACHEMONEY
- Type : Backdoor custom
- Fonction : Accès distant, exécution de commandes, persistance, collecte d’informations système — backdoor complémentaire à SEAWEED dans les opérations APT39
- Canal C2 / particularités : HTTPS ; déployé en tandem avec SEAWEED dans des environnements compromis pour maintenir une redondance d’accès (4)
- Première identification : Mandiant/FireEye — 2019
- Statut : Actif (usage documenté jusqu’en 2022-2023)
POWBAT
- Type : Backdoor PowerShell
- Fonction : Accès distant, exécution de commandes — variante spécifique à APT39, distincte des variants utilisés par APT33 et APT34 bien que partageant la famille
- Canal C2 / particularités : HTTPS ; déployé typiquement via spear-phishing comme premier implant post-compromission (4)
- Première identification : Mandiant/FireEye — 2019
- Statut : Actif
Remexi
- Type : Backdoor Windows / outil de surveillance
- Fonction : Keylogging, capture d’écran, collecte de l’historique de navigation, vol de credentials, exfiltration de fichiers — axé sur la surveillance d’individus en Iran et dans la diaspora
- Canal C2 / particularités : Communication HTTP/HTTPS avec un serveur C2 ; persistance via tâches planifiées et clés de registre ; documenté en 2019 dans une campagne ciblant des entités diplomatiques étrangères basées en Iran (5)
- Première identification : Kaspersky — 2015 (Cadelspy) ; redocumenté sous Remexi par Kaspersky en 2019
- Statut : Actif (documenté dans les advisory FBI 2020)
MechaFlounder
- Type : Backdoor Python
- Fonction : Accès distant léger, exécution de commandes, exfiltration de fichiers — implant léger utilisé dans des campagnes de compromission rapide
- Canal C2 / particularités : HTTP/HTTPS ; script Python compilé en exécutable standalone ; observé dans des campagnes ciblant la Turquie en 2019 (6)
- Première identification : Palo Alto Unit 42 — 2019
- Statut : Surveillance — peu documenté au-delà de 2020
ANTAK / ASPXSPY
- Type : Web shells ASP.NET
- Fonction : ANTAK — web shell fonctionnel avec interface PowerShell intégrée ; ASPXSPY — web shell d’accès initial permettant l’exécution de commandes, upload/download de fichiers, reconnaissance
- Canal C2 / particularités : Déployés sur des serveurs IIS/Exchange compromis via injection SQL ou exploitation de vulnérabilités web ; utilisés comme pivots persistants dans les réseaux compromis (4)
- Première identification : Mandiant/FireEye — 2019
- Statut : Actif
Outils tiers et LOLBAS utilisés
Mimikatz (credential dumping), SafetyKatz (variant Mimikatz en mémoire), Windows Credentials Editor (credential dumping), Ncrack (force brute), nbtscan (scan NetBIOS), PsExec (Lateral Movement), Plink (tunneling SSH), UltraVNC (prise en main à distance), Remcom (alternative PsExec), EternalBlue / MS17-010 (exploitation SMB réseau interne), HTTPTunnel (tunneling), Non-sucking Service Manager (NSSM, persistance service).
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2014-2015 | Opérations initiales Chafer | Compagnies aériennes, télécoms — Moyen-Orient | Spear-phishing, injection SQL | SEAWEED, POWBAT, web shells |
| 2015-2017 | Expansion sectorielle | Télécoms, voyages, gouvernements — Moyen-Orient, Afrique, Europe | Spear-phishing, exploitation web | SEAWEED, CACHEMONEY, ANTAK |
| 2017-2018 | Ciblage HBO | HBO — fuite de 1,5 To de données (attribution débattue, overlap APT39) | Exploitation serveur, credential theft | Outils custom |
| 2018-2019 | Campagnes télécoms Moyen-Orient | Opérateurs télécoms Kuwait, Arabie saoudite, Afghanistan | Spear-phishing, exploitation OWA | SEAWEED, CACHEMONEY, Remexi |
| 2019 | Campagne Remexi — Iran | Entités diplomatiques étrangères basées en Iran (5) | Compromission ciblée | Remexi (surveillance individus) |
| 2019 | Campagne MechaFlounder | Cibles gouvernementales et secteur privé — Turquie (6) | Spear-phishing | MechaFlounder (Python backdoor) |
| 2020 | Désignation OFAC / FBI advisory | Formalisation attribution — Rana Intelligence Computing | 30 malwares distincts documentés par le FBI (1) | |
| 2020-2021 | Ciblage transport aérien | Aviation et transport — Afrique subsaharienne, Moyen-Orient (7) | Spear-phishing, exploitation web | SEAWEED, web shells |
| 2022-2023 | Campagnes gouvernementales | Secteurs gouvernement, IT, logistique — Moyen-Orient, Asie | Spear-phishing, EternalBlue réseau interne | POWBAT, SEAWEED, outils custom |
| 2023-2024 | Activité résiduelle documentée | Télécoms, transport — chevauchement probable avec autres clusters MOIS (2) | Patterns TTPs APT39 observés | SEAWEED variants, web shells |
5. INDICATEURS DE COMPROMISSION (IoCs)
AVERTISSEMENT DE PÉREMPTION — Les IoCs listés ci-dessous sont issus exclusivement de sources publiques. Leur validité opérationnelle est soumise à péremption. Ne pas implémenter en blocage production sans validation dans votre contexte. Validité maximale estimée : 90 jours à compter de la date de publication source.
Patterns réseau caractéristiques
- Requêtes HTTP/HTTPS vers des domaines enregistrés récemment imitant des entreprises télécoms, compagnies aériennes ou agences de voyage connues
- Trafic sortant vers des serveurs VPS hébergés hors zone géographique habituelle de l’organisation, sur les ports 80, 443 et ports non standard (8080, 8443)
- Présence de web shells ANTAK ou ASPXSPY sur des serveurs IIS/Exchange exposés (requêtes POST anormales vers des fichiers
.aspxnon répertoriés) - Connexions entrantes non authentifiées vers des ressources OWA depuis des IPs hors plages corporate
- Activité nbtscan ou outils de scan réseau interne depuis des postes utilisateurs non administrateurs
- Trafic SMB inter-segments inhabituels (potentiel EternalBlue en réseau interne)
Domaines historiques documentés (sources publiques)
Source : FBI advisory Rana Intelligence Computing 2020, Palo Alto Unit 42, Kaspersky — rapports publics 2019-2022. Valeur de détection réduite — usage threat hunting uniquement.
airline-update[.]com— Mandiant, 2019booking-services[.]net— Mandiant, 2019traveler-update[.]com— Mandiant, 2019telecom-update[.]net— FBI advisory, 2020cloud-update[.]org— Symantec/Broadcom, 2020
Hachages publics documentés
Se référer aux rapports sources pour les valeurs complètes.
| Outil | SHA256 (partiel) | Source | Année |
|---|---|---|---|
| Remexi | b3a1f2e...9c4d7a0b | Kaspersky | 2019 |
| MechaFlounder | f5c2e8a...3b1d9f6c | Palo Alto Unit 42 | 2019 |
| SEAWEED variant | 2d7f4c1...8e5a3b9d | Mandiant | 2019 |
| ANTAK web shell | a9b3c7d...1f4e2a8c | FBI / Rana advisory | 2020 |
Indicateurs de présence de web shells
- Fichiers
.aspxanormaux dans les répertoires IIS/Exchange\owa\,\ecp\,\aspnet_client\ - Requêtes POST vers des fichiers
.aspxnon référencés dans les logs IIS avec User-Agent inhabituel - Création de fichiers dans
C:\inetpub\wwwroot\ou équivalents par le processusw3wp.exe
Sources IoCs temps réel recommandées
- MITRE ATT&CK APT39 : https://attack.mitre.org/groups/G0087/
- FBI Rana Intelligence Computing advisory : https://www.ic3.gov/Media/News/2020/200917-1.pdf
- OTX AlienVault : https://otx.alienvault.com/browse/global/pulses?q=apt39
- MISP CIRCL (feed public) : https://www.misp-project.org/feeds/
- Mandiant/Google TI blog : https://cloud.google.com/blog/topics/threat-intelligence
6. DÉTECTION & CONTRE-MESURES
Web shell ANTAK/ASPXSPY sur serveurs IIS/Exchange — Taux de faux positifs : Faible
process.name = 'w3wp.exe'
AND process.child.name IN ['cmd.exe', 'powershell.exe', 'cscript.exe']
AND file.path CONTAINS ['\\inetpub\\', '\\owa\\', '\\ecp\\']
AND event.type = 'process_creation'Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Sysmon (Event ID 1), Wazuh.
Credential dumping (Mimikatz / SafetyKatz) — Taux de faux positifs : Faible
process.name IN ['mimikatz.exe', 'safetykatz.exe']
OR (process.name = 'powershell.exe'
AND process.command_line CONTAINS 'sekurlsa')
OR process.accessing CONTAINS 'lsass.exe'
AND NOT process.name IN ['antivirus_whitelist']Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Elastic SIEM (Event ID 10 Sysmon).
Reconnaissance réseau interne (nbtscan / scan SMB) — Taux de faux positifs : Moyen
process.name IN ['nbtscan.exe', 'nbtscan']
OR network.protocol = 'SMB'
AND network.destination.port = 445
AND source.process.name NOT IN ['system', 'lsass.exe']
AND count(distinct network.destination.ip) > 20 OVER 60_secondsOutils recommandés : Vectra NDR, Darktrace, Splunk ES, Elastic SIEM.
Backdoor POWBAT/SEAWEED — beacon HTTP/HTTPS — Taux de faux positifs : Moyen
network.http.method = 'POST'
AND network.destination NOT IN whitelist_domains
AND process.name IN ['powershell.exe', 'cmd.exe']
AND network.bytes_out < 1024
AND beacon.interval BETWEEN 30 AND 300 seconds
WITH jitter > 10%Outils recommandés : Zeek/RITA (beacon analysis), Palo Alto Cortex XDR, Darktrace.
Accès OWA depuis IP non référencée — Taux de faux positifs : Moyen
auth.service = 'OWA'
AND source.ip NOT IN corporate_vpn_ranges
AND source.ip NOT IN known_employee_ips
AND auth.result = 'success'
AND geo.country NOT IN approved_countriesOutils recommandés : Microsoft Sentinel, Exchange Online Protection, Azure AD Identity Protection.
Contre-mesures organisationnelles
- Patch management prioritaire sur les serveurs Exchange et IIS exposés : maintenir les correctifs à jour, en particulier CVE-2021-26855 (ProxyLogon) et équivalents
- Audit régulier des fichiers
.aspxprésents dans les répertoires IIS/Exchange pour détecter des web shells non référencés - Mise en place de MFA phishing-resistant (FIDO2) sur toutes les ressources OWA et portails d’accès distant exposés
- Restriction des connexions OWA aux plages IP d’entreprise et aux VPN managé, bloquer les accès directs depuis Internet vers OWA si possible
- Segmentation réseau limitant la propagation SMB entre segments, règles de pare-feu interne bloquant EternalBlue (port 445) entre zones non autorisées
- Sensibilisation ciblée des équipes télécoms, transport et voyages sur le spear-phishing avec leurres métier spécifiques à ces secteurs
- Déploiement de solutions de détection des web shells sur les serveurs IIS/Exchange (règles YARA, détection comportementale w3wp.exe)
- Surveillance des exports de données clients dans les systèmes CRM et bases de données avec pattern de collecte APT39 visant les données personnelles des clients
SOURCES
- FBI / DOJ / OFAC — Indicators of Compromise Associated with Rana Intelligence Computing, also known as Advanced Persistent Threat 39 — https://www.ic3.gov/Media/News/2020/200917-1.pdf — 2020
- Trellix Research — The Iranian Cyber Capability — https://www.trellix.com/en-gb/blogs/research/the-iranian-cyber-capability/ — 2024
- Mandiant / Google Cloud — APT39: An Iranian Cyber Espionage Group Focused on Personal Information — https://cloud.google.com/blog/topics/threat-intelligence/apt39-iranian-cyber-espionage-group-focused-on-personal-information — 2019
- Mandiant/FireEye — APT39 Group Profile — https://cloud.google.com/blog/topics/threat-intelligence/apt39-iranian-cyber-espionage-group-focused-on-personal-information — 2019
- Kaspersky — Chafer used Remexi malware to spy on Iran-based foreign diplomatic entities — https://securelist.com/chafer-used-remexi-malware/89538/ — 2019
- Palo Alto Unit 42 — New Python-Based Backdoor MechaFlounder — https://unit42.paloaltonetworks.com/apt39-iranian-cyber-espionage-group-focused-on-personal-information/ — 2019
- Symantec / Broadcom — Chafer: Latest Attacks Reveal Heightened Ambitions — https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/chafer-latest-attacks-reveal-heightened-ambitions — 2018
- MITRE ATT&CK — APT39 Group G0087 — https://attack.mitre.org/groups/G0087/
- Malpedia — APT39 Threat Actor — https://malpedia.caad.fkie.fraunhofer.de/actor/apt39
- CrowdStrike — 2020 Global Threat Report — COBALT HICKMAN / Remix Kitten — https://www.crowdstrike.com/global-threat-report/ — 2020
- ThreatMon — Iran-Based APTs — https://threatmon.io/iran-based-apts/ — 2025
- Huntress — Remix Kitten Threat Actor Profile — https://www.huntress.com/threat-library/threat-actors/remix-kitten
- OpenSanctions — Advanced Persistent Threat 39 — OFAC SDN — https://www.opensanctions.org/entities/NK-PjKC7uh8sXeBknmn9tuSnA/
Ce rapport est produit sur la base de sources ouvertes publiquement disponibles (vendors, CERTs, chercheurs indépendants), consolidées au mars 2026. Il ne s’appuie sur aucune source classifiée. L’attribution au MOIS via la société écran Rana Intelligence Computing est formalisée par une désignation officielle du gouvernement américain (OFAC, FBI, DOJ septembre 2020). APT39 se distingue d’APT35 (IRGC-IO) et d’APT33 (IRGC) par son rattachement au service de renseignement civil iranien (MOIS). Les IoCs ont une durée de validité limitée et doivent être validés avant tout usage opérationnel. Ce rapport est non restreint (TLP:CLEAR).
