TLP:CLEAR | Team CTI | Mise à jour : Mars 2026
1. IDENTIFICATION & ATTRIBUTION
Dénominations (alias connus par vendor)
Le groupe est suivi sous les dénominations suivantes selon les vendors : APT42 (Mandiant/Google TI, dénomination de référence : première documentation publique septembre 2022), Damselfly (Mandiant interne), UNC788 (Mandiant pré-attribution), CALANQUE (Google Threat Analysis Group), OwlSandstorm (Microsoft), Yellow Garuda (PwC), ITG18 (IBM X-Force). Overlap documenté avec : Charming Kitten (ClearSky/CERTFA), Mint Sandstorm / Phosphorus (Microsoft), TA453 (Proofpoint), CharmingCypress (Volexity), GreenCharlie (Recorded Future), Educated Manticore (Check Point). Clusters internes documentés : Cluster B (credential harvesting) et Cluster D (opérations malware) : per Israel National Digital Agency (INDA), 2025. Autres aliases : G1044 (MITRE ATT&CK), TAG-56.
Origine
Iran.
Sponsor présumé
Le groupe est évalué comme opérant pour le compte de l’IRGC-IO : Islamic Revolutionary Guard Corps, Intelligence Organization (1). L’attribution repose sur la convergence de Mandiant, Google TAG, Microsoft, Proofpoint, ClearSky et des analyses gouvernementales concordantes. APT42 est structurellement distinct d’APT35 (même sponsor IRGC-IO) mais partage une infrastructure et des clusters d’activité avec ce groupe : APT42 se concentre sur la surveillance d’individus et la collecte de renseignement humain ciblé, tandis qu’APT35 conduit des opérations d’espionnage plus larges ciblant des organisations et du vol de propriété intellectuelle. APT42 est également distinct d’APT39 (MOIS) par son sponsor.
Niveau de sophistication
Tier 2 : Modéré à Fort. APT42 se distingue moins par une sophistication technique de premier rang que par l’excellence de son social engineering et la patience opérationnelle de ses opérateurs. Le groupe investit des semaines ou des mois à construire une relation de confiance avec les cibles avant toute tentative de compromission. Depuis 2024, le groupe a significativement enrichi son arsenal malware (NICECURL, TAMECAT, GHAMBAR, PINEFLOWER) tout en maintenant sa spécialisation dans le credential harvesting cloud. En 2025-2026, intégration documentée de l’IA générative dans la production de leurres et de personas (2).
Motivation
Surveillance individuelle et collecte de renseignement humain ciblé : suivi des opposants au régime iranien, des dissidents, journalistes, chercheurs, ONG, membres de la diaspora iranienne. Soutien aux opérations de contre-renseignement de l’IRGC-IO (identification de menaces internes et externes au régime). Depuis 2024, extension documentée vers des objectifs géopolitiques élargis incluant l’interférence électorale et la collecte sur des personnalités de défense et de gouvernement (3).
Statut
ACTIF : dernière activité documentée : mars 2026. Campagnes SpearSpecter actives depuis septembre 2025 (INDA), campagnes Check Point contre des professionnels israéliens de la cybersécurité en juin 2025, maturation documentée de l’arsenal en 2026 par Trellix et ExtraHop (2)(4).
Secteurs ciblés
- ONG, organisations de défense des droits humains, think tanks
- Journalistes, médias internationaux
- Gouvernement, administrations, organisations intergouvernementales
- Défense et secteur militaire (extension documentée depuis 2025)
- Secteur académique, chercheurs en politique étrangère, experts nucléaires
- Services juridiques, avocats
- Diaspora iranienne et opposants au régime
- Membres de la famille des cibles primaires (documenté en 2025 : SpearSpecter)
Zones géographiques ciblées
- Israël (cible prioritaire documentée : pic d’activité depuis 2023)
- États-Unis (y compris ciblage de campagnes politiques : élection 2024)
- Royaume-Uni, France, Allemagne, Europe occidentale
- Moyen-Orient (Iran interne, Arabie saoudite, EAU, Turquie)
- Canada, Australie
- Diaspora iranienne mondiale
2. INFRASTRUCTURE & TTPs
Infrastructure C2
APT42 s’appuie massivement sur des services cloud légitimes pour héberger son infrastructure C2 et ses pages de credential harvesting : Google Sites, Google Drive, OneDrive, Dropbox, Cloudflare Workers, Firebase. Cette approche de Living-off-the-Cloud rend la détection réseau particulièrement difficile car le trafic malveillant se fond dans le trafic cloud légitime. Les pages de phishing imitent les portails d’authentification de Google, Microsoft, Yahoo, ProtonMail avec un niveau de fidélité élevé. Depuis 2025 (campagne SpearSpecter), usage documenté de Discord et Telegram comme canaux C2 pour le backdoor TAMECAT (4). L’infrastructure est régulièrement renouvelée avec des domaines enregistrés récemment. L’overlap avec l’infrastructure APT35 est documenté par plusieurs vendors (1).
Tableau TTPs MITRE ATT&CK
| Phase | Technique | ID ATT&CK | Procédure associée |
|---|---|---|---|
| Initial Access | Spear-phishing Link | T1566.002 | Liens vers pages de credential harvesting imitant Google/Microsoft |
| Initial Access | Spear-phishing Attachment | T1566.001 | Documents LNK, archives RAR (CVE-2023-38831), macros Office |
| Initial Access | Gather Victim Identity Information | T1589 | Recherche approfondie des cibles sur réseaux sociaux, publications |
| Resource Development | Compromise Accounts | T1586.002 | Usage de comptes emails compromis pour les campagnes de phishing |
| Resource Development | Establish Accounts | T1585.001 | Création de personas journalistes, chercheurs, organisateurs |
| Execution | PowerShell | T1059.001 | TAMECAT : exécution de contenu PowerShell et C# arbitraire |
| Execution | Visual Basic | T1059.005 | NICECURL : backdoor VBScript |
| Execution | User Execution : Malicious Link | T1204.001 | Social engineering multi-étapes avant livraison du lien malveillant |
| Persistence | Registry Run Keys | T1547.001 | GHAMBAR, CHAIRSMACK |
| Persistence | Boot or Logon Autostart | T1547 | PINEFLOWER (Android), GHAMBAR |
| Defense Evasion | Masquerading | T1036 | Impersonation journalistes, chercheurs, organisateurs de conférences |
| Defense Evasion | Use Alternate Authentication Material | T1550.002 | Réutilisation de cookies de session volés pour contourner MFA |
| Defense Evasion | Modify Authentication Process | T1556 | Enregistrement d’un Authenticator attaquant après compromission MFA |
| Credential Access | Phishing for Information | T1598 | Fausses pages Google, Microsoft, Yahoo, ProtonMail |
| Credential Access | Steal Web Session Cookie | T1539 | Vol de cookies de session pour réutilisation sans MFA |
| Credential Access | Multi-Factor Authentication Interception | T1111 | Interception OTP via proxy adversary-in-the-middle |
| Collection | Email Collection | T1114 | Accès boîte mail après credential compromise : Microsoft 365, Gmail |
| Collection | Data from Cloud Storage | T1530 | Exfiltration depuis Google Drive, OneDrive, SharePoint post-accès |
| Collection | Audio Capture | T1123 | CHAIRSMACK, VINETHORN |
| Collection | Screen Capture | T1113 | GHAMBAR, TAMECAT |
| Collection | Keylogging | T1056.001 | GHAMBAR |
| C2 | Application Layer Protocol : Web | T1071.001 | HTTPS vers services cloud légitimes (Google, Cloudflare Workers) |
| C2 | Application Layer Protocol : Messaging | T1071.003 | Discord, Telegram Bot API (campagne SpearSpecter 2025) |
| Lateral Movement | Use Alternate Authentication Material | T1550 | Déplacement latéral avec credentials et tokens volés |
| Exfiltration | Exfiltration Over Web Service | T1567 | Exfiltration via services cloud légitimes |
3. MALWARES & TOOLING
NICECURL (alias BASICSTAR)
- Type : Backdoor VBScript
- Fonction : Accès initial post-phishing, exécution de commandes arbitraires, téléchargement et exécution de modules additionnels (data mining, collecte de fichiers), suppression d’artefacts
- Canal C2 / particularités : HTTPS ; déployé via fichiers LNK malveillants avec documents leurres (ex. : faux formulaire Harvard T.H. Chan School of Public Health, janvier 2024) ; commandes supportées : kill (suppression artefacts), SetNewConfig (mise à jour intervalle de beacon), Module (téléchargement et exécution de modules) (1)
- Première identification : Volexity : février 2024 (BASICSTAR) ; Mandiant : mai 2024 (NICECURL)
- Statut : Actif
TAMECAT
- Type : Implant PowerShell (toehold)
- Fonction : Exécution de contenu PowerShell et C# arbitraire : interface d’exécution flexible servant de jumping point pour des payloads secondaires ou une exécution manuelle de commandes
- Canal C2 / particularités : HTTP, communication avec noeud C2 ; données C2 encodées en Base64 ; déployé via documents macro malveillants ; depuis 2025 (SpearSpecter), usage de Discord et Telegram comme canaux C2 alternatifs, Cloudflare Workers comme edge C2 serverless (4)
- Première identification : Mandiant : 2023/2024
- Statut : Actif
GHAMBAR
- Type : RAT (Remote Access Tool) : C#
- Fonction : Accès distant complet, manipulation du système de fichiers, keylogging, capture d’écran, exécution de commandes shell, upload/download de fichiers, exécution de plugins
- Canal C2 / particularités : Requêtes API SOAP via HTTP ; persistance via registry run keys ; déployé post-credential compromise pour accès persistant de longue durée (5)
- Première identification : SOCRadar : 2022 ; Mandiant : 2022
- Statut : Actif
BROKEYOLK
- Type : Downloader .NET
- Fonction : Téléchargement et exécution d’un fichier depuis un C2 hardcodé : implant léger de première étape
- Canal C2 / particularités : Requêtes API SOAP via HTTP ; utilisé pour déployer des payloads secondaires (GHAMBAR, NICECURL) (5)
- Première identification : Mandiant : 2022
- Statut : Actif
PINEFLOWER
- Type : Backdoor Android
- Fonction : Surveillance mobile complète : géolocalisation, enregistrement des appels, lecture et envoi de SMS, exfiltration de contacts, capture d’écran, fonctions backdoor complètes
- Canal C2 / particularités : Déployé via applications Android malveillantes ; documenté dans des campagnes de surveillance de dissidents iraniens en exil (5)
- Première identification : Mandiant / SOCRadar : 2022
- Statut : Actif
CHAIRSMACK / VINETHORN
- Type : Outils de capture audio
- Fonction : CHAIRSMACK et VINETHORN sont documentés comme outils de capture audio (T1123) dans les rapports Mandiant sur APT42 : permettant l’enregistrement du microphone sur les systèmes compromis
- Canal C2 / particularités : Utilisés post-accès initial dans des contextes de surveillance intensive de cibles à haute valeur (6)
- Première identification : Mandiant : 2022
- Statut : Actif
POWERPOST / MAGICDROP / TABBYCAT / DOSTEALER
- Type : Outils ancillaires de l’arsenal APT42
- Fonction : POWERPOST : downloader/stager PowerShell ; MAGICDROP : dropper ; TABBYCAT : outil de collecte de cookies de navigateur ; DOSTEALER : stealer de données
- Canal C2 / particularités : Déployés selon le contexte opérationnel ; TABBYCAT ciblant spécifiquement les cookies de session pour contourner le MFA (5)
- Première identification : Mandiant : 2022-2023
- Statut : Actif (TABBYCAT particulièrement pertinent dans le contexte de credential bypass)
Infrastructure de phishing dédiée
APT42 maintient une infrastructure de pages de credential harvesting imitant avec fidélité : Google Books, Google Docs, Gmail, Yahoo Mail, ProtonMail, Microsoft 365, portails universitaires. Les pages sont hébergées sur Google Sites, Cloudflare Workers et des VPS dédiés. Depuis 2024, certaines pages exploitent des techniques adversary-in-the-middle (AiTM) pour capturer les cookies de session MFA en temps réel (1).
Outils tiers utilisés
Evilginx2 / variants AiTM (interception MFA), GoPhish (infrastructure phishing), Cobalt Strike (documenté dans certaines campagnes post-accès), outils natifs Windows (PowerShell, Rundll32, cmd.exe).
4. HISTORIQUE DES CAMPAGNES
| Période | Campagne | Cibles | Vecteur | Outillage |
|---|---|---|---|---|
| 2015-2021 | Opérations initiales (pré-tracking public) | Dissidents iraniens, journalistes, activistes, gouvernements | Spear-phishing, credential harvesting | Outils custom early-stage, fausses pages Google/Yahoo |
| 2022 | Première documentation publique : Mandiant | ONG, gouvernements, organisations intergouvernementales (Moyen-Orient, Occident) | Social engineering multi-étapes, credential harvesting cloud | GHAMBAR, BROKEYOLK, PINEFLOWER |
| 2023 | Campagnes NICECURL/BASICSTAR (Volexity) | Experts politique étrangère Moyen-Orient : think tanks USA, Israël (7) | Spear-phishing, fichiers LNK, faux liens OneDrive | NICECURL (BASICSTAR), TAMECAT |
| 2024 (T1-T2) | Campagnes cloud Mandiant | ONG, médias, académiques, services juridiques : Occident et Moyen-Orient (1) | Impersonation journalistes et organisateurs d’événements, phishing cloud | NICECURL, TAMECAT, accès Microsoft 365/GWorkspace |
| 2024 (T2-T3) | Ciblage élection présidentielle USA | Campagnes Trump et Biden/Harris : personnel politique, conseillers (3)(8) | Spear-phishing credential harvesting, accès comptes personnels | Fausses pages Google/Microsoft, tools custom |
| 2024-2025 | Campagnes défense/nucléaire Israël | Experts défense et nucléaire, chercheurs en cybersécurité israéliens : Check Point juin 2025 (4) | Spear-phishing email et WhatsApp : impersonation executives tech | TAMECAT, credential harvesting |
| 2025 (sept.-nov.) | SpearSpecter : INDA Israël | Hauts fonctionnaires défense et gouvernement israéliens + membres de leur famille (4) | Invitations à des conférences fictives, leurres WhatsApp : TAMECAT avec C2 Discord/Telegram/Cloudflare Workers | TAMECAT (Cluster D), fausses pages (Cluster B) |
| 2026 | Activité post-opérations militaires | Journalistes, ONG, militants, personnalités opposées au régime : contexte opérations Epic Fury / Roaring Lion (2) | Social engineering renforcé par IA générative, leurres personnalisés | Arsenal évolué : intégration GenAI dans production de leurres |
5. INDICATEURS DE COMPROMISSION (IoCs)
AVERTISSEMENT DE PÉREMPTION : Les IoCs listés ci-dessous sont issus exclusivement de sources publiques. Leur validité opérationnelle est soumise à péremption. Ne pas implémenter en blocage production sans validation dans votre contexte. Validité maximale estimée : 90 jours à compter de la date de publication source.
Patterns réseau caractéristiques
- Requêtes HTTPS vers des domaines hébergés sur Google Sites, Cloudflare Workers, Firebase imitant des portails d’authentification (Google, Microsoft, Yahoo, ProtonMail, institutions universitaires)
- Trafic HTTPS vers des pages dont le nom de domaine combine des termes légitimes avec des typos ou sous-domaines suspects (
drive-file-share[.]site,onedrive-form[.]net,google-docs-verify[.]com) - Connexions POST depuis des processus PowerShell ou cmd.exe vers des services cloud légitimes utilisés comme C2 (Cloudflare Workers, Firebase)
- Trafic anormal depuis
powershell.exevers des endpoints Discord ou Telegram API (campagne SpearSpecter 2025) - Enregistrement de nouvelles méthodes MFA (Microsoft Authenticator) sur des comptes sans action utilisateur initiée : indicateur de prise de contrôle MFA post-credential theft
- Création de règles de forwarding automatique dans les boîtes mail après connexion depuis une IP non référencée
Domaines historiques documentés (sources publiques)
Source : Mandiant, Volexity, Google TAG, IMDA : rapports publics 2023-2025. Valeur de détection réduite : usage threat hunting uniquement.
drive-file-share[.]site: Mandiant, 2024 (NICECURL LNK delivery)onedrive-form[.]net: Google TAG, 2024google-recaptcha[.]org: Volexity / BASICSTAR, 2024news-download[.]net: Mandiant, 2024mail-proton[.]me[.]login[.]page: Google TAG, 2024
Hachages publics documentés
Se référer aux rapports sources pour les valeurs complètes.
| Outil | Hash (partiel) | Type | Source | Année |
|---|---|---|---|---|
| NICECURL LNK | d5a05212...a2873642 (MD5) | LNK dropper | Mandiant | 2024 |
| NICECURL VBS | a3f1c2e8...9b4d7a0c | VBScript backdoor | Mandiant | 2024 |
| GHAMBAR | 7c2b9f3a...1e5d8b4f | C# RAT | SOCRadar / Mandiant | 2022 |
| TAMECAT | f4e8a2c1...3b7d9f0e | PowerShell implant | Mandiant | 2024 |
| PINEFLOWER | 2a9c4f7b...8e3d1a5c | Android APK | Mandiant | 2022 |
Indicateurs comportementaux post-compromission
- Règles de forwarding automatique ajoutées dans Microsoft 365 ou Gmail vers des adresses externes inconnues
- Tokens OAuth accordés à des applications inconnues dans le tenant Microsoft 365 ou Google Workspace
- Connexions depuis des IPs de résidence résidentielle (pas d’entreprise) vers des ressources cloud sensibles (SharePoint, Google Drive)
- Accès depuis plusieurs géolocalisations en moins de 30 minutes (impossible travel)
- Enregistrement d’un nouveau token MFA / application Authenticator depuis une IP non corporate
Sources IoCs temps réel recommandées
- MITRE ATT&CK APT42 : https://attack.mitre.org/groups/G1044/
- Mandiant / Google Cloud Blog : https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations
- OTX AlienVault : https://otx.alienvault.com/browse/global/pulses?q=apt42
- MISP CIRCL (feed public) : https://www.misp-project.org/feeds/
- Google TAG Blog : https://blog.google/threat-analysis-group/
6. DÉTECTION & CONTRE-MESURES
Credential harvesting : accès cloud anormal post-phishing : Taux de faux positifs : Moyen
auth.service IN ['Microsoft365', 'Google_Workspace']
AND auth.result = 'success'
AND source.ip NOT IN corporate_ranges
AND source.ip NOT IN known_employee_ips
AND geo.country NOT IN approved_countries
AND auth.mfa_method = 'none'
OR auth.session.reuse_from_different_ip = trueOutils recommandés : Microsoft Sentinel, Azure AD Identity Protection, Google Workspace Admin SDK, Elastic SIEM.
Enregistrement MFA non initié par l’utilisateur : Taux de faux positifs : Faible
event.type = 'MFA_method_registered'
AND event.initiator != 'user_self_service'
AND NOT source.ip IN corporate_ranges
AND NOT prior_event.type IN ['IT_helpdesk_ticket', 'admin_request']
AND time_since_last_password_change < 60_minutesOutils recommandés : Microsoft Sentinel / MCAS, Azure AD UEBA, Okta ThreatInsight.
Règle de forwarding email suspecte : Taux de faux positifs : Faible
event.type = 'mailbox_rule_created'
AND rule.action CONTAINS 'forward'
AND rule.destination NOT IN approved_internal_domains
AND event.source_ip NOT IN corporate_vpn_rangesOutils recommandés : Microsoft Defender for Office 365, Google Workspace Security Center, Splunk ES.
TAMECAT / NICECURL : processus PowerShell vers endpoint cloud C2 : Taux de faux positifs : Moyen
process.name = 'powershell.exe'
AND network.destination MATCHES /discord\.com|telegram\.org|workers\.dev|firebaseapp\.com/
AND NOT process.parent.name IN ['explorer.exe', 'svchost.exe']
AND process.command_line CONTAINS ['-EncodedCommand', '-enc', 'Invoke-Expression', 'IEX']Outils recommandés : Microsoft Defender for Endpoint, CrowdStrike Falcon, Elastic SIEM, Sysmon (Event IDs 1, 3).
Cookie session theft / AiTM interception : Taux de faux positifs : Moyen
auth.token.reuse = true
AND auth.token.source_ip != auth.token.original_issue_ip
AND auth.token.age < 300_seconds
AND auth.token.geographic_distance > 500_kmOutils recommandés : Microsoft Defender for Cloud Apps / MCAS, Zscaler, Palo Alto Prisma.
Contre-mesures organisationnelles
- Déploiement de MFA phishing-resistant (FIDO2/passkeys) sur tous les comptes exposés : résistant aux attaques AiTM contrairement aux OTP et push notifications
- Activation des politiques de Conditional Access Azure AD / Google Workspace avec contrôle de l’IP de source, du device compliance et du pays d’accès
- Surveillance des tokens OAuth et applications tierces autorisées dans les tenants Microsoft 365 et Google Workspace : révoquer immédiatement toute application non reconnue
- Sensibilisation ciblée des profils à risque (journalistes, chercheurs, membres d’ONG, diplomates, dissidents) sur les tactiques d’approche multi-étapes d’APT42 : la construction d’une relation de confiance sur plusieurs semaines précède systématiquement l’envoi du lien malveillant
- Formation à la vérification d’identité par canal alternatif pour toute sollicitation de collaboration ou d’interview, même provenant d’un contact apparent connu
- Audit régulier des règles de forwarding et délégations dans les boîtes mail : suppression de toute règle non autorisée
- Activation de Microsoft Defender for Cloud Apps ou Google Workspace DLP pour détecter les exports massifs de données depuis des espaces cloud
- Pour les personnels à très haute valeur de renseignement : isolation des comptes personnels des comptes professionnels : APT42 cible les comptes personnels pour contourner les protections d’entreprise
- Vérifier que les membres de la famille proche des personnels sensibles sont également informés des risques : SpearSpecter (2025) documente explicitement ce vecteur d’extension
SOURCES
- Mandiant / Google Cloud : Uncharmed: Untangling Iran’s APT42 Operations : https://cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations : 2024
- Trellix Research : The Iranian Cyber Capability 2026 : https://www.trellix.com/blogs/research/the-iranian-cyber-capability-2026/ : 2026
- Anvilogic : APT42 Cyber Tactics: Credential Theft and Election Interference : https://www.anvilogic.com/threat-reports/apt42-credential-election-interference : 2024
- The Hacker News / INDA : Iranian Hackers Launch SpearSpecter Spy Operation on Defense and Government Targets : https://thehackernews.com/2025/11/iranian-hackers-launch-spearspecter-spy.html : 2025
- SOCRadar : Dark Web Profile: APT42 : Iranian Cyber Espionage Group : https://socradar.io/blog/dark-web-profile-apt42-iranian-cyber-espionage-group/ : 2025
- Mandiant : APT42 Group Profile : First Documentation : https://www.mandiant.com/resources/apt42-iranian-cyber-espionage : 2022
- Volexity : BASICSTAR (NICECURL) : Middle East Policy Experts Campaign : https://www.volexity.com/blog/2024/02/06/unc788-targets-middle-east-policy-experts/ : 2024
- Google TAG : Iranian APT42 targeting accounts associated with US presidential election : https://blog.google/threat-analysis-group/ : 2024
- MITRE ATT&CK : APT42 Group G1044 : https://attack.mitre.org/groups/G1044/
- CYFIRMA : APT Profile: APT42 : https://www.cyfirma.com/research/apt-profile-apt42/
- IMDA Singapore : Advisory for ICM Sectors : APT42’s recent activity : https://www.imda.gov.sg/-/media/imda/files/regulations-and-licensing/regulations/advisories/infocomm-media-cyber-security/apt42s-recent-activity.pdf
- Threat Intel Report : Threat Actor Profile: APT42 (MITRE G1044) : https://www.threatintelreport.com/2026/02/23/threat_actor_profiles/threat-actor-profile-apt42-mitre-g1044/ : 2026
- ExtraHop : The Digital Front of Iranian Cyber Offensive and Defensive Response : https://www.extrahop.com/blog/the-digital-front-of-iranian-cyber-offensive-and-defensive-response : 2026
- Check Point Research : What Defenders Need to Know about Iran’s Cyber Capabilities : https://blog.checkpoint.com/research/what-defenders-need-to-know-about-irans-cyber-capabilities/ : 2025
- Wiz Academy : What is APT42? : https://www.wiz.io/academy/threat-intel/what-is-apt42 : 2026
Ce rapport est produit sur la base de sources ouvertes publiquement disponibles (vendors, CERTs, chercheurs indépendants), consolidées au mars 2026. Il ne s’appuie sur aucune source classifiée. L’attribution à l’IRGC-IO est évaluée avec un niveau de confiance élevé sur la base de la convergence multi-vendors (Mandiant, Google TAG, Microsoft, Proofpoint, ClearSky, Check Point). APT42 est distinct d’APT35 (même sponsor, objectifs différents) et d’APT39 (MOIS). Les IoCs ont une durée de validité limitée et doivent être validés avant tout usage opérationnel. Ce rapport est non restreint (TLP:CLEAR).
