Les APT iraniens sont-ils déjà présents dans votre réseau hybride ?

10 juillet 2025

Responsable de la recherche sur les cybermenaces

Les APT iraniens sont-ils déjà présents dans votre réseau hybride ?

La récente escalade entre l'Iran et Israël a déclenché une recrudescence des opérations cybernétiques menées par des acteurs liés à des États, qui s'attaquent aux réseaux d'identité, aux réseaux cloud et aux réseaux d'entreprise. Ces groupes bien dotés en ressources combinent des intrusions profondes dans les réseaux et des abus d'identité pour déjouer les défenses traditionnelles.

Ils exploitent les applications publiques pour l'accès initial, collectent les informations d'identification par phishing ou par pulvérisation de mot de passe, puis se déplacent latéralement avec RDP, PsExec ou des services d'accès à distance. La persistance est assurée par des tâches planifiées, le chargement latéral de DLL, des fenêtres cachées et des tunnels de protocole. Les données sont discrètement stockées, archivées et exfiltrées par des canaux obscurs, souvent sans déclencher d'alertes.

Simultanément, ils lancent des campagnes axées sur l'identité au sein de Microsoft 365, Azure et Google Workspace : ils abusent d'OAuth, contournent le MFA et utilisent Outlook, OneDrive et Teams pour maintenir l'accès et siphonner les données. Ces tactiques ciblent les infrastructures critiques, les gouvernements, les entreprises commerciales et les ONG au Moyen-Orient et en Occident, mêlant espionnage et attaques destructrices (wipers, chiffrement forcé).

S'appuyer uniquement sur les points d'extrémité ou les contrôles périmétriques vous rend aveugle à l'ensemble de la chaîne d'attaque. Si vous utilisez la collaboration cloud , l'infrastructure hybride ou l'accès à distance, vous êtes déjà dans leur ligne de mire.

Qui se cache derrière les attaques ? Profils APT liés à l'Iran

Malgré des objectifs variés (allant de l'espionnage à long terme au sabotage pur et simple) , chaque groupe exploite à la fois le réseau et les canaux d'identité pour s'introduire, persister et extraire. Voici une vue d'ensemble de leur accès initial, de leurs TTP de réseau et de leurs TTP d'cloud .

Groupe	Accès Initial	Tactiques de réseau	Tactique de l'Cloud nuage
APT33 (alias Peach Sandstorm, HOLMIUM, COBALT TRINITY, Elfin, Refined Kitten)	Courriels d'phishing avec offres d'emploi, campagnes d'ingénierie sociale et exploitation de vulnérabilités connues.	Exécution de codes malveillants via PowerShell et des tâches planifiées. Déplacement latéral à l'aide de RDP, WMI et d'informations d'identification volées. Dumping des informations d'identification pour l'escalade et la persistance. Archivage et exfiltration de données sensibles par des canaux cryptés ou obscurs. Maintenir la furtivité en utilisant l'obscurcissement, les clés de registre et le trafic codé.	phishing (hameçonnage) utilisant les offres d'emploi et l'ingénierie sociale pour obtenir des informations d'identification. Pulvérisation de mot de passe pour accéder aux comptes Office 365 et Azure. Une fois les informations d'identification obtenues, il est possible d'accéder à des comptes par le biais de VPN commerciaux. Utilisation d'outils spécifiques à Azure pour énumérer Entra ID (Azure AD) et récolter des données sur les utilisateurs et les groupes. Déploiement de fichiers ZIP malveillants via des messages Microsoft Teams pour extraire des informations Active Directory.
APT34 (alias Helix Kitten, OilRig, CHRYSENE, COBALT GYPSY)	Courriels d'phishing et fausses offres d'emploi ciblant des personnes occupant des fonctions spécifiques.	Utilisation de protocoles de bureau à distance et de tunnels VPN pour les déplacements. Dumping d'informations d'identification et élévation de privilèges par le biais d'exploits connus. Exfiltration de données par tunnel DNS, FTP et courrier électronique compromis. Échapper à la détection grâce au masquage, aux binaires signés et à la manipulation des pare-feu.	Courriels d'phishing et fausses offres d'emploi pour accéder à Exchange et à d'autres comptes cloud . Exploitation des fonctions de messagerie cloud telles qu'Exchange pour exfiltrer des données de manière furtive. Exploitation des limites de taille des transferts de données pour éviter la détection. Récolte d'informations d'identification et réutilisation de celles-ci pour des mouvements latéraux dans les environnements SaaS.
APT35 (alias Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453, PHOSPHORUS)	Courriels d'phishing , faux portails de connexion imitant les services cloud et comptes compromis.	Effectuer des déplacements latéraux via RDP et des tâches planifiées. Le transfert d'informations d'identification à partir des navigateurs et de la mémoire pour un accès plus approfondi. Transférer des données en utilisant des canaux cryptés et des plateformes de partage cloud . échapper à la sécurité en désactivant la journalisation et en mélangeant le trafic C2 avec l'activité web.	Ciblage des informations d'identification par le biais de faux portails de connexion imitant les services cloud. Contourner les protections MFA en utilisant l'ingénierie sociale et de fausses pages de connexion convaincantes. Profiter des vulnérabilités d'Exchange ou d'autres applications SaaS cloud pour obtenir un accès privilégié. L'utilisation de comptes cloud pour récolter des fichiers et des courriels d'intérêt en silence.
APT42 (alias Crooked Charms)	Ingénierie sociale prolongée et usurpation de l'identité de contacts de confiance pour obtenir des informations d'identification.	Utilisation de canaux HTTPS cryptés pour le transfert furtif de données. Accès par tunnel via des sessions VPN usurpées et des sessions distantes masquées. Exécution de scripts pour la découverte, l'enregistrement des touches et la collecte de données. Se fondre dans le trafic légitime pour éviter de déclencher des alertes.	Ingénierie sociale poussée pour obtenir un accès permanent à Microsoft 365 et à des plateformes similaires. Exploitation d'applications client légitimes pour faire croire à une activité normale de l'utilisateur. Télécharger des fichiers OneDrive et des courriels Outlook à l'aide du compte compromis sans éveiller les soupçons. Déployer des scripts simples pour extraire des données sensibles.
Eau boueuse (alias STATIC KITTEN, Earth Vetala, MERCURY, Seedworm, Mango Sandstorm, TEMP.Zagros)	phishing avec des pièces jointes ou des liens malveillants envoyés via des comptes compromis.	Exécution de scripts et de malware via PowerShell, VBScript et des tâches planifiées. Déplacement latéral à l'aide d'outils d'accès à distance et de WMI. Extraction des informations d'identification de la mémoire, des navigateurs et des sources mises en cache. Établissement de la persistance à l'aide de clés de registre et de DLL sideloading. Exfiltration de données compressées via des canaux C2 basés sur HTTP.	phishing avec des pièces jointes et des liens malveillants pour voler des informations d'identification pour des applications cloud . Utiliser les comptes compromis pour envoyer d'autres courriels d'phishing en interne, créant ainsi un effet de cascade. Cibler les processus de réinitialisation des identifiants et les systèmes MFA pour prendre le contrôle des comptes cloud .
Chaton rampant	Applications Android malveillantes et phishing pour voler des informations d'identification et prendre le contrôle de l'appareil.	Diffusion de charges utiles par l'intermédiaire de documents Word à distance hébergés sur des domaines SharePoint usurpés. Maintien de C2 via SOAP sur HTTPS avec des points d'extrémité de type OneDrive. Exfiltration de jetons Telegram, de coffres-forts KeePass et de fichiers sensibles à l'aide de téléchargements codés en base64. persiste en remplaçant le programme de mise à jour de Telegram et en injectant des charges utiles dans explorer.exe. Extension de la collecte par le biais de portes dérobées Android et de sites d'phishing Telegram.	Phishing pour obtenir des informations d'identification Google en imitant des pages de connexion légitimes sur les appareils Android. Utilisation des identifiants capturés pour se connecter à Gmail et à d'autres services cloud de Google. Extraction de données via les sessions de navigation et les fonctions intégrées des applications cloud , tout en évitant les indicateurs évidents de malware .
Agrius (alias DarkRypt, Pink Sandstorm, AMERICIUM, Agrius, Black Shadow, Spectral Kitten)	Déploiement de webshells après phishing ou exploitation de serveurs vulnérables.	Obtenir un accès en exploitant les applications publiques et les mauvaises configurations. Effectuer des reconnaissances internes et des déplacements latéraux par le biais d'un tunnel de bureau à distance. La vidange des informations d'identification pour l'escalade des privilèges et la persistance. Mise en scène et exfiltration de données à l'aide de méthodes de transfert courantes. altérer les outils de sécurité et déguiser l'activité pour échapper à la détection.	Déployer des scripts pour extraire les informations d'identification de comptes internes après un accès par phishing ou ingénierie sociale. Pivoter latéralement en utilisant des informations d'identification valides et des sessions autorisées dans les applications cloud .

Cinq techniques d'identité et d'Cloud que les équipes SOC doivent surveiller

Les cybercriminels affiliés à l'Iran vont au-delà des malware et des exploits traditionnels. Leurs campagnes s'appuient désormais sur l'utilisation abusive des systèmes d'identité et sur les outils de confiance déjà utilisés par votre organisation. Ces cinq techniques sont essentielles pour échapper à la détection et maintenir la persistance dans les environnements cloud . Chacune d'entre elles représente un manque de visibilité critique si votre équipe s'appuie uniquement sur des outils EDR ou SIEM traditionnels.

Vol de données d'identification via le Spear Phishing
Faux portails de connexion imitant Office 365 ou Gmail, pulvérisation de mots de passe et techniques de contournement du MFA.
Détournement de comptesCloud
Utilisation d'informations d'identification volées pour accéder au courrier électronique, à OneDrive, SharePoint ou aux applications Azure.
Recon et mouvement latéral
Enumération d'Entra ID (Azure AD), création d'applications OAuth ou d'abonnements pour la persistance.
Exfiltration de données via des outils légitimes
Déplacement de données via OneDrive, Outlook ou des API basées sur le web pour se dissimuler dans le trafic normal.
Vivre hors des sentiers battus dans le SaaS et le Cloud
Utiliser des clients SaaS intégrés comme Outlook ou des outils d'accès à distance comme AnyDesk/TeamViewer pour contrôler les comptes cloud .

TA0001Accès initial	TA0002Exécution	TA0003Persistance	TA0004Escaladede privilèges	TA0005Evasionde défense	TA0006Accèsaux justificatifs	TA0007Découverte	TA0008Mouvement latéral	TA0009Collection	TA0011Command & Control	TA0010Exfiltration	TA0040Impact
T1566.001Piècejointe d'hameçonnage (sparphishing)	T1047WindowsManagement Instrumentation	T1098.005Enregistrementdes appareils	T1068Exploitationpour l'escalade des privilèges	T1564.004Fenêtre cachée	T1110.001Pulvérisationde mots de passe	T1012Registredes requêtes	T1021.001RDP	T1560ArchiveDonnées collectées	T1071.001Protocoles web	T1048AltExfiltration de protocole	T1485Destructionde données
T1566.002Liend'espionnage	T1053.005Tâche programmée/emploi	T1547Démarrageautomatique de l'amorçage ou de la connexion	T1055Injectionde procédé	T1036.005Masquerading	T1555Accréditationsdes magasins de mots de passe	T1082Découverted'informations sur le système	T1021.002SMBAdmin Shares		T1102.001Résolveurde deaddrop		T1486Donnéescryptées pour l'impact
T1133Services externes àdistance	T1059.001PowerShell			T1562.001Désactiverou modifier des outils	T1555.003Accréditationsdes navigateurs Web	T1069.002Découverted'un groupe de domaines
T1190Exploiter uneapplication publique				T1572Transfertde protocole	T1003OSCredential Dumping	T1069.003Découverte du groupe Cloud
					T1556.006MFA- Génération de requêtes	T1482Découvertede la confiance dans les domaines
					T1558.003Kerberoasting

MITRE Techniques utilisées par les APT iraniennes

Pourquoi les APT iraniens s'attaquent-ils à l'Cloud et à l'identité ?

Pour les groupes de menace iraniens, les systèmes d'identité et d'cloud offrent une échelle, une furtivité et une valeur stratégique. Ces attaquants ne sont pas seulement opportunistes, ils s'adaptent au mode de fonctionnement actuel des organisations. L'accès à distance, l'identité fédérée et l'infrastructure cloud ont créé une large surface d'attaque avec une visibilité limitée pour de nombreuses équipes de sécurité.

L'identité est le nouveau périmètre. Une fois que les attaquants obtiennent des informations d'identification valides, en particulier celles liées aux plates-formes SaaS ou aux rôles d'administrateur du cloud , ils contournent souvent complètement la détection. Les outils de sécurité axés sur les points d'extrémité ou les pare-feu signalent rarement les appels d'API authentifiés ou les comportements de connexion anormaux si la session semble légitime.
Les environnementsCloud offrent une couverture. Les APT iraniens opèrent souvent dans des applications approuvées comme Microsoft 365, Azure et Google Workspace. Elles tirent parti de politiques OAuth faibles, d'un accès conditionnel mal configuré et de privilèges d'administration excessifs. Cela leur permet de persister dans des environnements où les contrôles traditionnels n'ont pas été conçus pour inspecter les anomalies comportementales entre les utilisateurs, les rôles et les applications.
Les réseaux hybrides offrent des points d'appui. Dans de nombreux cas, les attaquants compromettent les systèmes sur site et utilisent ce point d'ancrage pour accéder aux ressources cloud connectées. Microsoft a documenté des attaques dans lesquelles des acteurs iraniens ont utilisé Entra Connect et Azure Arc pour faire le lien entre des environnements sur site compromis et des ressources en cloud , y compris la mise en place d'une nouvelle infrastructure au sein de locataires compromis.
Les outilsCloud sont à double usage. PowerShell, Microsoft Graph API, la messagerie Teams et la délégation de boîtes aux lettres sont censés faciliter la collaboration. Les acteurs iraniens utilisent ces mêmes capacités pour recenser les environnements, partager des malware et déplacer des données. Comme ils introduisent rarement de nouveaux binaires ou une infrastructure externe, ils évitent de déclencher les indicateurs classiques de compromission.

En bref, les attaques contre cloud et l'identité permettent aux APT iraniens de se déplacer discrètement et efficacement. Elles se fondent dans le comportement des utilisateurs, évitent les défenses traditionnelles et exploitent les failles que la plupart des organisations ne voient que lorsqu'il est trop tard.

Contrôles de sécurité visant à perturber les techniques APT iraniennes

Pour réduire votre exposition aux techniques décrites ci-dessus et faire de votre environnement une cible plus difficile, nous vous recommandons de prendre les mesures immédiates suivantes :

Appliquer l'authentification multifactorielle pour empêcher le phishing et le contournement de l'authentification multifactorielle.
Activer l'accès conditionnel et les politiques d'appareils sur les comptes cloud.
Surveillez l'activité de connexion pour détecter les IP suspectes, les zones géographiques inhabituelles et les connexions provenant d'un VPN.
Verrouillez les applications et les autorisations OAuth: passez en revue toutes les autorisations et tous les comptes de service dans Microsoft 365/Azure.
Auditer régulièrement les comptes privilégiés, en particulier ceux qui ont un rôle d'administrateur dans Exchange/Azure.
Mettre en œuvre la formation des utilisateurs: reconnaître les faux portails de connexion et les tactiques d'ingénierie sociale.
Surveillez l'exfiltration des données: mettez en place des règles DLP et des politiques CASB (Cloud Access Security Broker).
Vérifier le comportement MFA push: restreindre les notifications après plusieurs tentatives infructueuses ou utiliser des options MFA phishing comme FIDO2.

Ces contrôles renforcent votre environnement, mais la détection de l'utilisation abusive des informations d'identification et de la furtivité du réseau nécessite une visibilité active et axée sur le comportement.

Comment la plateforme Vectra AI détecte ce que les autres ne voient pas

La plupart des outils de sécurité ne parviennent pas à détecter les activités des APT iraniens car ils ne sont pas conçus pour surveiller la façon dont les attaquants opèrent dans les environnements de cloud et d'identité. La plateforme Vectra AI a été conçue pour combler cette lacune.

Plutôt que de s'appuyer sur des indicateurs statiques ou des journaux qui peuvent être manipulés, Vectra AI utilise la détection comportementale pilotée par l'IA pour identifier les activités anormales à travers Network, Active Directory, Microsoft 365, Entra ID, Copilot for M365, AWS et Azure Cloud. Il surveille en permanence la façon dont les utilisateurs interagissent avec les applications, les informations d'identification, les jetons et les données, et met en évidence les signaux indiquant une compromission sans que les cybercriminels aient besoin de déclencher des alarmes évidentes.

Mais la détection seule ne suffit pas. La plateforme d'Vectra AI de Vectra AI permet également de savoir quelles alertes sont vraiment importantes, en éliminant le bruit et en permettant aux équipes SOC de se concentrer sur les signaux qui indiquent de vraies menaces. Grâce aux actions de réponse intégrées, les analystes peuvent prendre des mesures immédiates pour contenir une attaque - qu'il s'agisse de révoquer des sessions ou de verrouiller des comptes - avant que les dommages ne s'étendent. Cette combinaison de détection, de clarté et de contrôle donne aux équipes de sécurité la confiance nécessaire pour répondre de manière décisive aux attaques modernes sophistiquées. Selon IDC, les entreprises qui utilisent Vectra AI identifient 52 % de menaces supplémentaires en au moins 50 % de temps en moins.

Voici comment Vectra AI détecte chacune des cinq techniques de base utilisées par les APT iraniennes :

Technique	Couverture de Vectra AI
Vol de documents d'identité	Détecte les pulvérisations de mots de passe et les comportements de connexion suspects, y compris les anomalies géographiques, les agents utilisateurs et les connexions provenant d'un réseau privé virtuel.
Détournement de compte Cloud	Signale les accès non autorisés aux boîtes aux lettres, à OneDrive et à d'autres services, en particulier lorsque le comportement s'écarte de la ligne de base habituelle de l'utilisateur.
Recon et mouvement latéral	Identifie l'énumération des objets Entra ID, les flux de consentement OAuth frauduleux et les activités suspectes des abonnements Azure.
Exfiltration de données via des outils légitimes	Détecte les mouvements anormaux de données par le biais d'applications SaaS approuvées, tels que les téléchargements importants ou les transferts de fichiers en masse par l'intermédiaire de l'API.
Vivre hors de la terre	L'abus d'outils natifs tels que Outlook, PowerShell et les logiciels d'accès à distance qui s'intègrent dans les flux de travail habituels est mis en évidence.

La plateforme plateformeVectra AI ne nécessite pas d'agents. Elle s'intègre nativement à Microsoft et applique une logique de détection en temps réel adaptée aux attaques basées sur l'identité. Cette approche fournit des alertes précises et fiables ainsi que des capacités de réponse automatisées qui permettent aux équipes SOC d'agir de manière décisive sans se noyer dans les faux positifs.

Vous êtes déjà client de Vectra AI NDR ?

Pour se défendre contre cette nouvelle vague d'attaques cloudidentité et le cloud, nous recommandons vivement d'étendre votre déploiement existant avec une couverture de l'identité et du Cloud . Cela garantit une visibilité et une protection unifiées dans les environnements hybrides où ces cybercriminels prospèrent.

Le moment est venu de voir ce que les autres ne peuvent pas voir.

Regardez la démonstration autoguidée de la plateforme Vectra AI pour voir comment nous aidons les équipes SOC à détecter des menaces que d'autres ne peuvent pas détecter.
Lisez le point de vue de notre vice-président produit Mark Wojtasiak sur les raisons pour lesquelles Vectra AI fait bonne figure dans le Gartner® Magic Quadrant™ 2025 pour la détection et réponse aux incidents (NDR).
Découvrez pourquoi Vectra AI est leader et surperformant dans le rapport Radar 2025 de GigaOm pour la détection et la réponse aux menaces identitaires (ITDR).

Vous voulez en savoir plus ?

Vectra AI est le leader de la détection et de la réponse aux menaces du cloud hybride pilotées par l'IA de sécurité. La plateforme et les services de Vectra couvrent le cloud public, les applications SaaS, les systèmes d'identité et l'infrastructure réseau - à la fois sur site et cloud. Des organisations du monde entier s'appuient sur la plateforme et les services Vectra pour résister aux ransomwares, à la compromission de la chaîne d'approvisionnement, aux prises d'identité et aux autres cyberattaques qui les touchent.

Si vous souhaitez en savoir plus, contactez-nous et nous vous montrerons exactement comment nous procédons et ce que vous pouvez faire pour protéger vos données. Nous pouvons également vous mettre en contact avec l'un de nos clients pour qu'il vous parle directement de son expérience avec notre solution.

Contactez-nous