Ce que l'affaire Stryker révèle sur la stratégie offensive de Handala.
Lire le blog

Ce que l'attaque Stryker révèle sur la stratégie du groupe Handala. Lire l'article →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Cyberattaque

Détection des attaques APT iraniennes visant l'identité dans les environnements hybrides

July 10, 2025
7/10/2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Détection des attaques APT iraniennes visant l'identité dans les environnements hybrides

La récente escalade entre l'Iran et Israël a déclenché une recrudescence des opérations cybernétiques menées par des acteurs liés à des États, qui s'attaquent aux réseaux d'identité, aux réseaux cloud et aux réseaux d'entreprise. Ces groupes bien dotés en ressources combinent des intrusions profondes dans les réseaux et des abus d'identité pour déjouer les défenses traditionnelles.

Ils exploitent les applications publiques pour l'accès initial, collectent les informations d'identification par phishing ou par pulvérisation de mot de passe, puis se déplacent latéralement avec RDP, PsExec ou des services d'accès à distance. La persistance est assurée par des tâches planifiées, le chargement latéral de DLL, des fenêtres cachées et des tunnels de protocole. Les données sont discrètement stockées, archivées et exfiltrées par des canaux obscurs, souvent sans déclencher d'alertes.

Simultanément, ils lancent des campagnes axées sur l'identité au sein de Microsoft 365, Azure et Google Workspace : ils abusent d'OAuth, contournent le MFA et utilisent Outlook, OneDrive et Teams pour maintenir l'accès et siphonner les données. Ces tactiques ciblent les infrastructures critiques, les gouvernements, les entreprises commerciales et les ONG au Moyen-Orient et en Occident, mêlant espionnage et attaques destructrices (wipers, chiffrement forcé).

S'appuyer uniquement sur les points d'extrémité ou les contrôles périmétriques vous rend aveugle à l'ensemble de la chaîne d'attaque. Si vous utilisez la collaboration cloud , l'infrastructure hybride ou l'accès à distance, vous êtes déjà dans leur ligne de mire.

Activités récentes des cybercriminels iraniens

Les groupes cybercriminels iraniens poursuivent leurs opérations cybernétiques soutenues contre des organisations issues des secteurs de l'administration, des télécommunications, de l'énergie et des technologies. Des campagnes récentes montrent que des acteurs tels que MuddyWater recourent de plus en plus à l'usurpation d'identité et à des outils cloud, tout en conservant leurs techniques d'intrusion traditionnelles basées sur PowerShell. Plutôt que de déployer malware facilement repérables, ces opérateurs s'appuient de plus en plus sur des scripts, des outils d'administration légitimes et des infrastructures compromises pour préserver leur discrétion au sein d'environnements hybrides.

Qui se cache derrière les attaques ? Profils APT liés à l'Iran

Malgré des objectifs variés (allant de l'espionnage à long terme au sabotage pur et simple) , chaque groupe exploite à la fois le réseau et les canaux d'identité pour s'introduire, persister et extraire. Voici une vue d'ensemble de leur accès initial, de leurs TTP de réseau et de leurs TTP d'cloud .

Les groupes malveillants iraniens réutilisent fréquemment les mêmes outils d'une campagne à l'autre, notamment les frameworks PowerShell, les chargeurs de scripts et les outils d'accès à distance open source. Cette réutilisation rend la détection comportementale, basée sur les données de télémétrie relatives aux identités et au réseau, particulièrement efficace.

Groupe Accès Initial Tactiques de réseau Tactique de l'Cloud nuage
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) Courriels d'phishing avec offres d'emploi, campagnes d'ingénierie sociale et exploitation de vulnérabilités connues.
  • Exécution de codes malveillants via PowerShell et des tâches planifiées.
  • Déplacement latéral à l'aide de RDP, WMI et d'informations d'identification volées.
  • Dumping des informations d'identification pour l'escalade et la persistance.
  • Archivage et exfiltration de données sensibles par des canaux cryptés ou obscurs.
  • Maintenir la furtivité en utilisant l'obscurcissement, les clés de registre et le trafic codé.
  • phishing (hameçonnage) utilisant les offres d'emploi et l'ingénierie sociale pour obtenir des informations d'identification.
  • Pulvérisation de mot de passe pour accéder aux comptes Office 365 et Azure.
  • Une fois les informations d'identification obtenues, il est possible d'accéder à des comptes par le biais de VPN commerciaux.
  • Utilisation d'outils spécifiques à Azure pour énumérer Entra ID (Azure AD) et récolter des données sur les utilisateurs et les groupes.
  • Déploiement de fichiers ZIP malveillants via des messages Microsoft Teams pour extraire des informations Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) Courriels d'phishing et fausses offres d'emploi ciblant des personnes occupant des fonctions spécifiques.
  • Utilisation de protocoles de bureau à distance et de tunnels VPN pour les déplacements.
  • Dumping d'informations d'identification et élévation de privilèges par le biais d'exploits connus.
  • Exfiltration de données par tunnel DNS, FTP et courrier électronique compromis.
  • Échapper à la détection grâce au masquage, aux binaires signés et à la manipulation des pare-feu.
  • Courriels d'phishing et fausses offres d'emploi pour accéder à Exchange et à d'autres comptes cloud .
  • Exploitation des fonctions de messagerie cloud telles qu'Exchange pour exfiltrer des données de manière furtive.
  • Exploitation des limites de taille des transferts de données pour éviter la détection.
  • Récolte d'informations d'identification et réutilisation de celles-ci pour des mouvements latéraux dans les environnements SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) Courriels d'phishing , faux portails de connexion imitant les services cloud et comptes compromis.
  • Effectuer des déplacements latéraux via RDP et des tâches planifiées.
  • Le transfert d'informations d'identification à partir des navigateurs et de la mémoire pour un accès plus approfondi.
  • Transférer des données en utilisant des canaux cryptés et des plateformes de partage cloud .
  • échapper à la sécurité en désactivant la journalisation et en mélangeant le trafic C2 avec l'activité web.
  • Ciblage des informations d'identification par le biais de faux portails de connexion imitant les services cloud.
  • Contourner les protections MFA en utilisant l'ingénierie sociale et de fausses pages de connexion convaincantes.
  • Profiter des vulnérabilités d'Exchange ou d'autres applications SaaS cloud pour obtenir un accès privilégié.
  • L'utilisation de comptes cloud pour récolter des fichiers et des courriels d'intérêt en silence.
APT42 (alias Crooked Charms) Ingénierie sociale prolongée et usurpation de l'identité de contacts de confiance pour obtenir des informations d'identification.
  • Utilisation de canaux HTTPS cryptés pour le transfert furtif de données.
  • Accès par tunnel via des sessions VPN usurpées et des sessions distantes masquées.
  • Exécution de scripts pour la découverte, l'enregistrement des touches et la collecte de données.
  • Se fondre dans le trafic légitime pour éviter de déclencher des alertes.
  • Ingénierie sociale poussée pour obtenir un accès permanent à Microsoft 365 et à des plateformes similaires.
  • Exploitation d'applications client légitimes pour faire croire à une activité normale de l'utilisateur.
  • Télécharger des fichiers OneDrive et des courriels Outlook à l'aide du compte compromis sans éveiller les soupçons.
  • Déployer des scripts simples pour extraire des données sensibles.
Eau boueuse (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) phishing l'exploitation des failles de sécurité.
  • Exécution de chargeurs et d'environnements de script basés sur PowerShell qui déploient des charges utiles supplémentaires à partir de la mémoire.
  • Utilisation de serveurs web compromis et d'infrastructures d'hébergement légitimes pour acheminer le trafic de commande et de contrôle.
  • Se déplacer latéralement à l'aide d'outils d'administration à distance, de PowerShell Remoting et de WMI.
  • Mise en place de données en vue de leur exfiltration via des canaux C2 basés sur HTTP, tout en se fondant dans le trafic réseau normal.
  • Cibler les identifiants Microsoft 365 par le biais de campagnes phishing d'ingénierie sociale.
  • Utiliser de manière abusive cloud légitimes tels qu'Outlook, OneDrive et SharePoint pour collecter et transférer des données sensibles.
  • Utilisation de comptes piratés pour envoyer phishing en interne et étendre les droits d'accès au sein du tenant.
  • Exploiter des sessions d'authentification légitimes pour maintenir la persistance sans déployer malware manifestes.
Chaton rampant Applications Android malveillantes et phishing pour voler des informations d'identification et prendre le contrôle de l'appareil.
  • Diffusion de charges utiles par l'intermédiaire de documents Word à distance hébergés sur des domaines SharePoint usurpés.
  • Maintien de C2 via SOAP sur HTTPS avec des points d'extrémité de type OneDrive.
  • Exfiltration de jetons Telegram, de coffres-forts KeePass et de fichiers sensibles à l'aide de téléchargements codés en base64.
  • persiste en remplaçant le programme de mise à jour de Telegram et en injectant des charges utiles dans explorer.exe.
  • Extension de la collecte par le biais de portes dérobées Android et de sites d'phishing Telegram.
  • Phishing pour obtenir des informations d'identification Google en imitant des pages de connexion légitimes sur les appareils Android.
  • Utilisation des identifiants capturés pour se connecter à Gmail et à d'autres services cloud de Google.
  • Extraction de données via les sessions de navigation et les fonctions intégrées des applications cloud , tout en évitant les indicateurs évidents de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Déploiement de webshells après phishing ou exploitation de serveurs vulnérables.
  • Obtenir un accès en exploitant les applications publiques et les mauvaises configurations.
  • Effectuer des reconnaissances internes et des déplacements latéraux par le biais d'un tunnel de bureau à distance.
  • La vidange des informations d'identification pour l'escalade des privilèges et la persistance.
  • Mise en scène et exfiltration de données à l'aide de méthodes de transfert courantes.
  • altérer les outils de sécurité et déguiser l'activité pour échapper à la détection.
  • Déployer des scripts pour extraire les informations d'identification de comptes internes après un accès par phishing ou ingénierie sociale.
  • Pivoter latéralement en utilisant des informations d'identification valides et des sessions autorisées dans les applications cloud .

Cinq techniques d'identité et d'Cloud que les équipes SOC doivent surveiller

Les cybercriminels affiliés à l'Iran vont au-delà des malware et des exploits traditionnels. Leurs campagnes s'appuient désormais sur l'utilisation abusive des systèmes d'identité et sur les outils de confiance déjà utilisés par votre organisation. Ces cinq techniques sont essentielles pour échapper à la détection et maintenir la persistance dans les environnements cloud . Chacune d'entre elles représente un manque de visibilité critique si votre équipe s'appuie uniquement sur des outils EDR ou SIEM traditionnels.

  1. Vol de données d'identification via le Spear Phishing
    Faux portails de connexion imitant Office 365 ou Gmail, pulvérisation de mots de passe et techniques de contournement du MFA.
  2. Détournement de comptesCloud
    Utilisation d'informations d'identification volées pour accéder au courrier électronique, à OneDrive, SharePoint ou aux applications Azure.
  3. Recon et mouvement latéral
    Enumération d'Entra ID (Azure AD), création d'applications OAuth ou d'abonnements pour la persistance.
  4. Exfiltration de données via des outils légitimes
    Déplacement de données via OneDrive, Outlook ou des API basées sur le web pour se dissimuler dans le trafic normal.
  5. Scripts « Living-Off-the-Land » et Cloud
    cybercriminels iraniens ont cybercriminels recours à des chargeurs PowerShell, à des scripts d'administration et à cloud légitimes, au détriment des malware sur mesure.
TA0001Accès initial TA0002Exécution TA0003Persistance TA0004Escaladede privilèges TA0005Evasionde défense TA0006Accèsaux justificatifs TA0007Découverte TA0008Mouvement latéral TA0009Collection TA0011Command & Control TA0010Exfiltration TA0040Impact
T1566.001Piècejointe d'hameçonnage (sparphishing) T1047WindowsManagement Instrumentation T1098.005Enregistrementdes appareils T1068Exploitationpour l'escalade des privilèges T1564.004Fenêtre cachée T1110.001Pulvérisationde mots de passe T1012Registredes requêtes T1021.001RDP T1560ArchiveDonnées collectées T1071.001Protocoles web T1048AltExfiltration de protocole T1485Destructionde données
T1566.002Liend'espionnage T1053.005Tâche programmée/emploi T1547Démarrageautomatique de l'amorçage ou de la connexion T1055Injectionde procédé T1036.005Masquerading T1555Accréditationsdes magasins de mots de passe T1082Découverted'informations sur le système T1021.002SMBAdmin Shares T1102.001Résolveurde deaddrop T1486Donnéescryptées pour l'impact
T1133Services externes àdistance T1059.001PowerShell T1562.001Désactiverou modifier des outils T1555.003Accréditationsdes navigateurs Web T1069.002Découverted'un groupe de domaines
T1190Exploiter uneapplication publique T1572Transfertde protocole T1003OSCredential Dumping T1069.003Découverte du groupe Cloud
T1556.006MFA- Génération de requêtes T1482Découvertede la confiance dans les domaines
T1558.003Kerberoasting

MITRE Techniques utilisées par les APT iraniennes

Pourquoi les APT iraniens s'attaquent-ils à l'Cloud et à l'identité ?

Pour les groupes cybercriminels iraniens, cloud et les systèmes d'identité offrent une grande échelle d'action, une grande discrétion et un accès stratégique. Ces attaquants adaptent leurs opérations pour s'aligner sur le mode de fonctionnement actuel des organisations. L'accès à distance, l'identité fédérée et les infrastructures cloud ont créé une vaste surface d'attaque où les contrôles traditionnels manquent souvent de visibilité.

Parmi les principales raisons pour lesquelles ces environnements constituent des cibles attrayantes, on peut citer :

  • L'identité est le nouveau périmètre. Une fois que les pirates ont mis la main sur des identifiants valides liés à des plateformes SaaS ou à des rôles cloud , ils contournent souvent complètement les défenses traditionnelles. Les outils de sécurité axés sur les terminaux ou les pare-feu signalent rarement les appels API authentifiés ou les comportements de connexion anormaux lorsque la session semble légitime.
  • Cloud offrent une couverture opérationnelle. Les groupes APT iraniens opèrent fréquemment au sein d'applications soumises à des sanctions, telles que Microsoft 365, Azure et Google Workspace. Ils exploitent les failles des politiques OAuth, les règles d'accès conditionnel mal configurées et les privilèges excessifs pour maintenir leur persistance tout en se fondant dans l'activité normale des utilisateurs.
  • Les réseaux hybrides offrent des opportunités de pivot. De nombreuses organisations maintiennent des liaisons entre leurs systèmes sur site et cloud . Des acteurs iraniens ont exploité les services de synchronisation des identités et les outils de gestion hybride pour passer de systèmes internes compromis à cloud , ce qui leur a permis d'étendre leur accès à l'ensemble des environnements.
  • Les scripts de type « living-off-the-land » réduisent malware . Les campagnes récentes menées par des groupes tels que MuddyWater montrent un recours massif aux chargeurs PowerShell et aux frameworks basés sur des scripts qui exécutent les charges utiles directement en mémoire. Au lieu de déployer malware facilement repérables, les attaquants récupèrent des outils de manière dynamique et opèrent en exploitant les capacités natives du système.
  • Les outilsCloud ont un double usage. Des outils tels que l'API Microsoft Graph, PowerShell, Outlook, la messagerie Teams et les logiciels d'administration à distance sont conçus pour favoriser la productivité. Les acteurs iraniens utilisent couramment ces mêmes fonctionnalités pour recenser les environnements, se déplacer latéralement et exfiltrer des données, tout en restant difficiles à distinguer d'une activité légitime.

En résumé, les attaques cloud les identités permettent aux groupes APT iraniens d'opérer discrètement dans des environnements hybrides. Ils se fondent dans le comportement légitime des utilisateurs, contournent les défenses traditionnelles et exploitent les lacunes en matière de visibilité que de nombreuses organisations peinent encore à surveiller efficacement.

Contrôles de sécurité visant à perturber les techniques APT iraniennes

Pour réduire votre exposition aux techniques décrites ci-dessus et faire de votre environnement une cible plus difficile, nous vous recommandons de prendre les mesures immédiates suivantes :

  1. Appliquer l'authentification multifactorielle pour empêcher le phishing et le contournement de l'authentification multifactorielle.
  2. Activer l'accès conditionnel et les politiques d'appareils sur les comptes cloud.
  3. Surveillez l'activité de connexion pour détecter les IP suspectes, les zones géographiques inhabituelles et les connexions provenant d'un VPN.
  4. Verrouillez les applications et les autorisations OAuth: passez en revue toutes les autorisations et tous les comptes de service dans Microsoft 365/Azure.
  5. Auditer régulièrement les comptes privilégiés, en particulier ceux qui ont un rôle d'administrateur dans Exchange/Azure.
  6. Mettre en œuvre la formation des utilisateurs: reconnaître les faux portails de connexion et les tactiques d'ingénierie sociale.
  7. Surveillez l'exfiltration des données: mettez en place des règles DLP et des politiques CASB (Cloud Access Security Broker).
  8. Vérifier le comportement MFA push: restreindre les notifications après plusieurs tentatives infructueuses ou utiliser des options MFA phishing comme FIDO2.

Ces mesures renforcent la sécurité de votre environnement, mais la détection de l'utilisation abusive des identifiants et des activités furtives sur le réseau nécessite une visibilité active, fondée sur l'analyse comportementale.

Transformer les renseignements sur les APT iraniennes en recherche immédiate de menaces

Comprendre le mode de fonctionnement des groupes malveillants iraniens n'est qu'une première étape. Le prochain défi consiste à déterminer si ces mêmes techniques sont déjà utilisées au sein de votre environnement.

Les équipes SOC n'ont pas besoin d'un nouveau rapport décrivant les techniques utilisées par les pirates. Ce dont elles ont besoin, ce sont des moyens concrets de détecter ces comportements dans leur environnement.

Afin d'aider les équipes de sécurité à passer de la collecte de renseignements à l'enquête, nous avons mis au point une série de campagnes de recherche de menaces directement liées aux techniques utilisées par les groupes APT iraniens observées lors de récentes campagnes. Ces campagnes permettent de mettre en évidence des indicateurs précoces au niveau de l'activité liée aux identités et au réseau, notamment :

  • Enregistrements suspects d'appareils Microsoft 365 liés à une compromission d'identifiants
  • Communication au sein de l'infrastructure de commandement et de contrôle d'OilRig
  • L'activité DNS de SpyNote et QasarRAT est liée à l'infrastructure des pirates
  • Échecs d'enregistrement de périphériques pouvant indiquer une opération de reconnaissance menée par APT35
  • Sessions réseau associées à malware Pupy

Chaque recherche comprend une requête prête à l'emploi que vous pouvez exécuter dans Vectra AI plateforme pour identifier rapidement toute activité potentielle d'attaquant.

Recherche d'activités liées aux APT iraniennes sur laplateforme Vectra AI

La mise en place de recherches ciblées de ce type permet aux analystes de passer d'une surveillance passive à une détection proactive. Au lieu d'attendre les alertes, votre équipe peut rechercher directement les comportements auxquels les opérateurs iraniens ont recours une fois qu'ils ont obtenu l'accès.

Étant donné que ces acteurs combinent l'usurpation d'identité, les activités SaaS et l'infrastructure réseau, une détection efficace nécessite une visibilité sur ces trois aspects.

C'est précisément là que laplateforme Vectra AI plateforme la différence.

Comment laplateforme Vectra AI plateforme les activités des groupes APT iraniens

Les outils de sécurité traditionnels ont tendance à se concentrer sur des signaux isolés : endpoint , journaux de pare-feu ou événements d'authentification. cybercriminels iraniens cybercriminels simultanément sur les systèmes d'identité, les plateformes SaaS et l'infrastructure réseau, ce qui leur permet de contourner facilement ces approches cloisonnées.

Le Vectra AI plateforme analyse en continu les comportements sur : le trafic réseau, Active Directory et Entra ID, l’activité liée aux identités Microsoft 365, ainsi que Cloud , notamment AWS et Azure. Au lieu de s’appuyer sur des indicateurs statiques, la plateforme les comportements anormaux qui signalent une compromission, même lorsque les attaquants utilisent des identifiants légitimes ou cloud autorisés.

Cela offre aux équipes SOC la visibilité nécessaire pour détecter les techniques précises utilisées par les groupes APT iraniens: utilisation abusive d'identifiants, manipulation d'identité, mouvements latéraux furtifs et activités de commande et de contrôle dissimulées.

Selon IDC, les entreprises qui utilisent Vectra AI 52 % de menaces en plus en y consacrant au moins 50 % de temps en moins.

Voici comment Vectra AI détecte chacune des cinq techniques de base utilisées par les APT iraniennes :

Technique Couverture de Vectra AI
Vol de documents d'identité Détecte les pulvérisations de mots de passe et les comportements de connexion suspects, y compris les anomalies géographiques, les agents utilisateurs et les connexions provenant d'un réseau privé virtuel.
Détournement de compte Cloud Signale les accès non autorisés aux boîtes aux lettres, à OneDrive et à d'autres services, en particulier lorsque le comportement s'écarte de la ligne de base habituelle de l'utilisateur.
Recon et mouvement latéral Identifie l'énumération des objets Entra ID, les flux de consentement OAuth frauduleux et les activités suspectes des abonnements Azure.
Exfiltration de données via des outils légitimes Détecte les mouvements anormaux de données par le biais d'applications SaaS approuvées, tels que les téléchargements importants ou les transferts de fichiers en masse par l'intermédiaire de l'API.
Vivre hors de la terre L'abus d'outils natifs tels que Outlook, PowerShell et les logiciels d'accès à distance qui s'intègrent dans les flux de travail habituels est mis en évidence.

Le Vectra AI plateforme ne nécessite pas d’agents. Elle s’intègre nativement à Microsoft et applique une logique de détection en temps réel adaptée aux attaques ciblant les identités. Cette approche fournit des alertes précises et fiables ainsi que des capacités de réponse automatisées qui permettent aux équipes SOC d’agir de manière décisive sans se noyer dans les faux positifs.

Vous êtes déjà client de Vectra AI NDR ?

Pour se défendre contre cette nouvelle vague d'attaques cloudidentité et le cloud, nous recommandons vivement d'étendre votre déploiement existant avec une couverture de l'identité et du Cloud . Cela garantit une visibilité et une protection unifiées dans les environnements hybrides où ces cybercriminels prospèrent.

Foire aux questions