De Clawdbot à OpenClaw : l'automatisation comme porte dérobée numérique.
Lire le blog

De Clawdbot à OpenClaw : l'automatisation comme porte dérobée numérique. Lire le blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Cyberattaque

Les APT iraniens sont-ils déjà présents dans votre réseau hybride ?

Juillet 10, 2025
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Les APT iraniens sont-ils déjà présents dans votre réseau hybride ?

La récente escalade entre l'Iran et Israël a déclenché une recrudescence des opérations cybernétiques menées par des acteurs liés à des États, qui s'attaquent aux réseaux d'identité, aux réseaux cloud et aux réseaux d'entreprise. Ces groupes bien dotés en ressources combinent des intrusions profondes dans les réseaux et des abus d'identité pour déjouer les défenses traditionnelles.

Ils exploitent les applications publiques pour l'accès initial, collectent les informations d'identification par phishing ou par pulvérisation de mot de passe, puis se déplacent latéralement avec RDP, PsExec ou des services d'accès à distance. La persistance est assurée par des tâches planifiées, le chargement latéral de DLL, des fenêtres cachées et des tunnels de protocole. Les données sont discrètement stockées, archivées et exfiltrées par des canaux obscurs, souvent sans déclencher d'alertes.

Simultanément, ils lancent des campagnes axées sur l'identité au sein de Microsoft 365, Azure et Google Workspace : ils abusent d'OAuth, contournent le MFA et utilisent Outlook, OneDrive et Teams pour maintenir l'accès et siphonner les données. Ces tactiques ciblent les infrastructures critiques, les gouvernements, les entreprises commerciales et les ONG au Moyen-Orient et en Occident, mêlant espionnage et attaques destructrices (wipers, chiffrement forcé).

S'appuyer uniquement sur les points d'extrémité ou les contrôles périmétriques vous rend aveugle à l'ensemble de la chaîne d'attaque. Si vous utilisez la collaboration cloud , l'infrastructure hybride ou l'accès à distance, vous êtes déjà dans leur ligne de mire.

Recent Activity from Iranian Threat Actors

Iranian threat groups continue to run sustained cyber operations against organizations across government, telecommunications, energy, and technology sectors. Recent campaigns show actors like MuddyWater expanding their use of identity abuse and cloud-native tooling while maintaining traditional PowerShell-based intrusion techniques. Rather than deploying obvious malware, these operators increasingly rely on scripts, legitimate administration tools, and compromised infrastructure to maintain stealth across hybrid environments.

Qui se cache derrière les attaques ? Profils APT liés à l'Iran

Malgré des objectifs variés (allant de l'espionnage à long terme au sabotage pur et simple) , chaque groupe exploite à la fois le réseau et les canaux d'identité pour s'introduire, persister et extraire. Voici une vue d'ensemble de leur accès initial, de leurs TTP de réseau et de leurs TTP d'cloud .

Iranian threat groups frequently reuse tooling across campaigns, particularly PowerShell frameworks, script loaders, and open-source remote access tools. This reuse makes behavioral detection across identity and network telemetry especially effective.

Groupe Accès Initial Tactiques de réseau Tactique de l'Cloud nuage
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten) Courriels d'phishing avec offres d'emploi, campagnes d'ingénierie sociale et exploitation de vulnérabilités connues.
  • Exécution de codes malveillants via PowerShell et des tâches planifiées.
  • Déplacement latéral à l'aide de RDP, WMI et d'informations d'identification volées.
  • Dumping des informations d'identification pour l'escalade et la persistance.
  • Archivage et exfiltration de données sensibles par des canaux cryptés ou obscurs.
  • Maintenir la furtivité en utilisant l'obscurcissement, les clés de registre et le trafic codé.
  • phishing (hameçonnage) utilisant les offres d'emploi et l'ingénierie sociale pour obtenir des informations d'identification.
  • Pulvérisation de mot de passe pour accéder aux comptes Office 365 et Azure.
  • Une fois les informations d'identification obtenues, il est possible d'accéder à des comptes par le biais de VPN commerciaux.
  • Utilisation d'outils spécifiques à Azure pour énumérer Entra ID (Azure AD) et récolter des données sur les utilisateurs et les groupes.
  • Déploiement de fichiers ZIP malveillants via des messages Microsoft Teams pour extraire des informations Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY) Courriels d'phishing et fausses offres d'emploi ciblant des personnes occupant des fonctions spécifiques.
  • Utilisation de protocoles de bureau à distance et de tunnels VPN pour les déplacements.
  • Dumping d'informations d'identification et élévation de privilèges par le biais d'exploits connus.
  • Exfiltration de données par tunnel DNS, FTP et courrier électronique compromis.
  • Échapper à la détection grâce au masquage, aux binaires signés et à la manipulation des pare-feu.
  • Courriels d'phishing et fausses offres d'emploi pour accéder à Exchange et à d'autres comptes cloud .
  • Exploitation des fonctions de messagerie cloud telles qu'Exchange pour exfiltrer des données de manière furtive.
  • Exploitation des limites de taille des transferts de données pour éviter la détection.
  • Récolte d'informations d'identification et réutilisation de celles-ci pour des mouvements latéraux dans les environnements SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS) Courriels d'phishing , faux portails de connexion imitant les services cloud et comptes compromis.
  • Effectuer des déplacements latéraux via RDP et des tâches planifiées.
  • Le transfert d'informations d'identification à partir des navigateurs et de la mémoire pour un accès plus approfondi.
  • Transférer des données en utilisant des canaux cryptés et des plateformes de partage cloud .
  • échapper à la sécurité en désactivant la journalisation et en mélangeant le trafic C2 avec l'activité web.
  • Ciblage des informations d'identification par le biais de faux portails de connexion imitant les services cloud.
  • Contourner les protections MFA en utilisant l'ingénierie sociale et de fausses pages de connexion convaincantes.
  • Profiter des vulnérabilités d'Exchange ou d'autres applications SaaS cloud pour obtenir un accès privilégié.
  • L'utilisation de comptes cloud pour récolter des fichiers et des courriels d'intérêt en silence.
APT42 (alias Crooked Charms) Ingénierie sociale prolongée et usurpation de l'identité de contacts de confiance pour obtenir des informations d'identification.
  • Utilisation de canaux HTTPS cryptés pour le transfert furtif de données.
  • Accès par tunnel via des sessions VPN usurpées et des sessions distantes masquées.
  • Exécution de scripts pour la découverte, l'enregistrement des touches et la collecte de données.
  • Se fondre dans le trafic légitime pour éviter de déclencher des alertes.
  • Ingénierie sociale poussée pour obtenir un accès permanent à Microsoft 365 et à des plateformes similaires.
  • Exploitation d'applications client légitimes pour faire croire à une activité normale de l'utilisateur.
  • Télécharger des fichiers OneDrive et des courriels Outlook à l'aide du compte compromis sans éveiller les soupçons.
  • Déployer des scripts simples pour extraire des données sensibles.
Eau boueuse (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros) Spear-phishing and vulnerability exploitation.
  • Executing PowerShell-based loaders and scripting frameworks that deploy additional payloads from memory.
  • Using compromised web servers and legitimate hosting infrastructure for command-and-control traffic.
  • Moving laterally using remote administration tools, PowerShell remoting, and WMI.
  • Staging data for exfiltration through HTTP-based C2 channels while blending into normal network activity.
  • Targeting Microsoft 365 credentials through phishing and social engineering campaigns.
  • Abusing legitimate cloud services such as Outlook, OneDrive, and SharePoint to collect and move sensitive data.
  • Using compromised accounts to send internal phishing messages and expand access within the tenant.
  • Leveraging legitimate authentication sessions to maintain persistence without deploying obvious malware.
Chaton rampant Applications Android malveillantes et phishing pour voler des informations d'identification et prendre le contrôle de l'appareil.
  • Diffusion de charges utiles par l'intermédiaire de documents Word à distance hébergés sur des domaines SharePoint usurpés.
  • Maintien de C2 via SOAP sur HTTPS avec des points d'extrémité de type OneDrive.
  • Exfiltration de jetons Telegram, de coffres-forts KeePass et de fichiers sensibles à l'aide de téléchargements codés en base64.
  • persiste en remplaçant le programme de mise à jour de Telegram et en injectant des charges utiles dans explorer.exe.
  • Extension de la collecte par le biais de portes dérobées Android et de sites d'phishing Telegram.
  • Phishing pour obtenir des informations d'identification Google en imitant des pages de connexion légitimes sur les appareils Android.
  • Utilisation des identifiants capturés pour se connecter à Gmail et à d'autres services cloud de Google.
  • Extraction de données via les sessions de navigation et les fonctions intégrées des applications cloud , tout en évitant les indicateurs évidents de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten) Déploiement de webshells après phishing ou exploitation de serveurs vulnérables.
  • Obtenir un accès en exploitant les applications publiques et les mauvaises configurations.
  • Effectuer des reconnaissances internes et des déplacements latéraux par le biais d'un tunnel de bureau à distance.
  • La vidange des informations d'identification pour l'escalade des privilèges et la persistance.
  • Mise en scène et exfiltration de données à l'aide de méthodes de transfert courantes.
  • altérer les outils de sécurité et déguiser l'activité pour échapper à la détection.
  • Déployer des scripts pour extraire les informations d'identification de comptes internes après un accès par phishing ou ingénierie sociale.
  • Pivoter latéralement en utilisant des informations d'identification valides et des sessions autorisées dans les applications cloud .

Cinq techniques d'identité et d'Cloud que les équipes SOC doivent surveiller

Les cybercriminels affiliés à l'Iran vont au-delà des malware et des exploits traditionnels. Leurs campagnes s'appuient désormais sur l'utilisation abusive des systèmes d'identité et sur les outils de confiance déjà utilisés par votre organisation. Ces cinq techniques sont essentielles pour échapper à la détection et maintenir la persistance dans les environnements cloud . Chacune d'entre elles représente un manque de visibilité critique si votre équipe s'appuie uniquement sur des outils EDR ou SIEM traditionnels.

  1. Vol de données d'identification via le Spear Phishing
    Faux portails de connexion imitant Office 365 ou Gmail, pulvérisation de mots de passe et techniques de contournement du MFA.
  2. Détournement de comptesCloud
    Utilisation d'informations d'identification volées pour accéder au courrier électronique, à OneDrive, SharePoint ou aux applications Azure.
  3. Recon et mouvement latéral
    Enumération d'Entra ID (Azure AD), création d'applications OAuth ou d'abonnements pour la persistance.
  4. Exfiltration de données via des outils légitimes
    Déplacement de données via OneDrive, Outlook ou des API basées sur le web pour se dissimuler dans le trafic normal.
  5. Living-Off-the-Land Scripts and Cloud Tools
    Iranian threat actors increasingly rely on PowerShell loaders, administrative scripts, and legitimate cloud APIs instead of custom malware.
TA0001Accès initial TA0002Exécution TA0003Persistance TA0004Escaladede privilèges TA0005Evasionde défense TA0006Accèsaux justificatifs TA0007Découverte TA0008Mouvement latéral TA0009Collection TA0011Command & Control TA0010Exfiltration TA0040Impact
T1566.001Piècejointe d'hameçonnage (sparphishing) T1047WindowsManagement Instrumentation T1098.005Enregistrementdes appareils T1068Exploitationpour l'escalade des privilèges T1564.004Fenêtre cachée T1110.001Pulvérisationde mots de passe T1012Registredes requêtes T1021.001RDP T1560ArchiveDonnées collectées T1071.001Protocoles web T1048AltExfiltration de protocole T1485Destructionde données
T1566.002Liend'espionnage T1053.005Tâche programmée/emploi T1547Démarrageautomatique de l'amorçage ou de la connexion T1055Injectionde procédé T1036.005Masquerading T1555Accréditationsdes magasins de mots de passe T1082Découverted'informations sur le système T1021.002SMBAdmin Shares T1102.001Résolveurde deaddrop T1486Donnéescryptées pour l'impact
T1133Services externes àdistance T1059.001PowerShell T1562.001Désactiverou modifier des outils T1555.003Accréditationsdes navigateurs Web T1069.002Découverted'un groupe de domaines
T1190Exploiter uneapplication publique T1572Transfertde protocole T1003OSCredential Dumping T1069.003Découverte du groupe Cloud
T1556.006MFA- Génération de requêtes T1482Découvertede la confiance dans les domaines
T1558.003Kerberoasting

MITRE Techniques utilisées par les APT iraniennes

Pourquoi les APT iraniens s'attaquent-ils à l'Cloud et à l'identité ?

For Iranian threat groups, cloud platforms and identity systems offer scale, stealth, and strategic access. These attackers are adapting their operations to match how organizations actually work today. Remote access, federated identity, and cloud-first infrastructure have created a wide attack surface where traditional controls often lack visibility.

Key reasons these environments are attractive targets include:

  • Identity is the new perimeter. Once attackers obtain valid credentials tied to SaaS platforms or cloud admin roles, they often bypass traditional defenses entirely. Security tools focused on endpoints or firewalls rarely flag authenticated API calls or abnormal login behavior when the session appears legitimate.
  • Cloud environments provide operational cover. Iranian APT groups frequently operate within sanctioned applications such as Microsoft 365, Azure, and Google Workspace. They exploit weak OAuth policies, misconfigured conditional access rules, and excessive privileges to maintain persistence while blending into normal user activity.
  • Hybrid networks create pivot opportunities. Many organizations maintain links between on-prem systems and cloud environments. Iranian actors have abused identity synchronization services and hybrid management tools to pivot from compromised internal systems into cloud tenants, allowing them to expand access across environments.
  • Living-off-the-land scripting reduces malware visibility. Recent campaigns from groups such as MuddyWater show heavy reliance on PowerShell loaders and script-based frameworks that execute payloads directly in memory. Instead of deploying obvious malware, attackers retrieve tools dynamically and operate using native system capabilities.
  • Cloud-native tooling is dual-use.Tools like Microsoft Graph API, PowerShell, Outlook, Teams messaging, and remote administration software are designed to enable productivity. Iranian actors routinely use these same capabilities to enumerate environments, move laterally, and exfiltrate data while remaining difficult to distinguish from legitimate activity.

In short, cloud and identity attacks allow Iranian APT groups to operate quietly across hybrid environments. They blend into legitimate user behavior, avoid traditional defenses, and exploit visibility gaps that many organizations still struggle to monitor effectively.

Contrôles de sécurité visant à perturber les techniques APT iraniennes

Pour réduire votre exposition aux techniques décrites ci-dessus et faire de votre environnement une cible plus difficile, nous vous recommandons de prendre les mesures immédiates suivantes :

  1. Appliquer l'authentification multifactorielle pour empêcher le phishing et le contournement de l'authentification multifactorielle.
  2. Activer l'accès conditionnel et les politiques d'appareils sur les comptes cloud.
  3. Surveillez l'activité de connexion pour détecter les IP suspectes, les zones géographiques inhabituelles et les connexions provenant d'un VPN.
  4. Verrouillez les applications et les autorisations OAuth: passez en revue toutes les autorisations et tous les comptes de service dans Microsoft 365/Azure.
  5. Auditer régulièrement les comptes privilégiés, en particulier ceux qui ont un rôle d'administrateur dans Exchange/Azure.
  6. Mettre en œuvre la formation des utilisateurs: reconnaître les faux portails de connexion et les tactiques d'ingénierie sociale.
  7. Surveillez l'exfiltration des données: mettez en place des règles DLP et des politiques CASB (Cloud Access Security Broker).
  8. Vérifier le comportement MFA push: restreindre les notifications après plusieurs tentatives infructueuses ou utiliser des options MFA phishing comme FIDO2.

These controls harden your environment but detecting credential misuse and network stealth requires active, behavior-driven visibility.

Turn Iranian APT Intelligence Into Immediate Threat Hunting

Understanding how Iranian threat groups operate is only the first step. The next challenge is determining whether those same techniques are already happening inside your environment.

SOC teams don’t need another report explaining attacker tradecraft. What they need are concrete ways to test their environment for those behaviors.

To help security teams move from intelligence to investigation, we created a set of threat hunts tied directly to Iranian APT tradecraft observed in recent campaigns. These hunts surface early indicators across identity and network activity, including:

  • Suspicious Microsoft 365 device registrations linked to credential compromise
  • OilRig command-and-control infrastructure communication
  • SpyNote and QasarRAT DNS activity tied to attacker infrastructure
  • Failed device registrations that may indicate APT35 reconnaissance
  • Network sessions associated with Pupy malware infrastructure

Each hunt includes a ready-to-run query you can execute inside the Vectra AI Platform to quickly identify potential attacker activity.

Hunting for iranian APT related activities in the Vectra AI Platform

Running targeted hunts like these helps analysts move from passive monitoring to proactive detection. Instead of waiting for alerts, your team can directly search for the behaviors Iranian operators rely on once they gain access.

Because these actors blend identity abuse, SaaS activity, and network infrastructure, effective detection requires visibility across all three.

That’s exactly where the Vectra AI Platform provides an advantage.

How the Vectra AI Platform Exposes Iranian APT Activity

Traditional security tools tend to focus on isolated signals: endpoint alerts, firewall logs, or authentication events. Iranian threat actors operate across identity systems, SaaS platforms, and network infrastructure simultaneously, which makes those siloed approaches easy to evade.

The Vectra AI Platform continuously analyzes behavior across: Network traffic Active Directory and Entra ID Microsoft 365 identity activity Cloud platforms including AWS and Azure Instead of relying on static indicators, the platform identifies abnormal behavior that signals compromise even when attackers use legitimate credentials or sanctioned cloud tools.

This gives SOC teams the visibility needed to detect the exact techniques used by Iranian APT groups: credential abuse, identity manipulation, stealthy lateral movement, and covert command-and-control activity.

According to IDC, organizations using Vectra AI identify 52% more threats in at least 50% less time.

Voici comment Vectra AI détecte chacune des cinq techniques de base utilisées par les APT iraniennes :

Technique Couverture de Vectra AI
Vol de documents d'identité Détecte les pulvérisations de mots de passe et les comportements de connexion suspects, y compris les anomalies géographiques, les agents utilisateurs et les connexions provenant d'un réseau privé virtuel.
Détournement de compte Cloud Signale les accès non autorisés aux boîtes aux lettres, à OneDrive et à d'autres services, en particulier lorsque le comportement s'écarte de la ligne de base habituelle de l'utilisateur.
Recon et mouvement latéral Identifie l'énumération des objets Entra ID, les flux de consentement OAuth frauduleux et les activités suspectes des abonnements Azure.
Exfiltration de données via des outils légitimes Détecte les mouvements anormaux de données par le biais d'applications SaaS approuvées, tels que les téléchargements importants ou les transferts de fichiers en masse par l'intermédiaire de l'API.
Vivre hors de la terre L'abus d'outils natifs tels que Outlook, PowerShell et les logiciels d'accès à distance qui s'intègrent dans les flux de travail habituels est mis en évidence.

La plateforme plateformeVectra AI ne nécessite pas d'agents. Elle s'intègre nativement à Microsoft et applique une logique de détection en temps réel adaptée aux attaques basées sur l'identité. Cette approche fournit des alertes précises et fiables ainsi que des capacités de réponse automatisées qui permettent aux équipes SOC d'agir de manière décisive sans se noyer dans les faux positifs.

Vous êtes déjà client de Vectra AI NDR ?

Pour se défendre contre cette nouvelle vague d'attaques cloudidentité et le cloud, nous recommandons vivement d'étendre votre déploiement existant avec une couverture de l'identité et du Cloud . Cela garantit une visibilité et une protection unifiées dans les environnements hybrides où ces cybercriminels prospèrent.

Foire aux questions