APT35
APT35, également connu sous le nom de Charming Kitten, est un groupe de cyber-espionnage iranien soutenu par l'État et actif depuis au moins 2013, connu pour ses campagnes d'ingénierie sociale sophistiquées et son ciblage persistant d'adversaires géopolitiques dans les secteurs gouvernemental, universitaire et privé.
L'origine de l'APT35
APT35, également connu sous les noms de Charming Kitten, Magic Hound, Mint Sandstorm, COBALT ILLUSION, TA453 et PHOSPHORUS, est un groupe de cyberespionnage lié au Corps des gardiens de la révolution islamique d'Iran (IRGC). Actif depuis au moins 2013, le groupe se concentre sur la collecte de renseignements qui s'alignent sur les priorités géopolitiques iraniennes. Sa principale caractéristique opérationnelle est l'utilisation de l'ingénierie sociale et du phishing pour cibler des individus et des organisations perçus comme des adversaires ou présentant un intérêt stratégique pour l'Iran.
Les tactiques d'APT35 sont méticuleuses : il s'agit souvent de créer de faux personnages et d'utiliser des plateformes légitimes (LinkedIn, Google Drive, etc.) pour collecter des informations d'identification et distribuer des malware . Le groupe est connu pour ses campagnes à long terme et persistantes contre un large éventail de cibles mondiales.
Pays ciblés par l'APT35
APT35 cible principalement des entités aux États-Unis, au Royaume-Uni, en Israël et en Arabie saoudite, mais ses campagnes ont également atteint des pays comme l'Allemagne, l'Irak, l'Australie, l'Iran (dissidents internes) et l'Albanie. Ces régions revêtent une importance stratégique en raison de leurs positions géopolitiques, de leur diaspora ou de l'accueil de dissidents et de journalistes critiques à l'égard du régime iranien.
Industries ciblées par l'APT35
Les opérations d'APT35 couvrent de nombreux secteurs. Les cibles prioritaires sont les gouvernements, la défense, l'armée et les services de renseignement, souvent dans le but de recueillir des informations stratégiques ou d'exfiltrer des données sensibles. Ils s'attaquent également aux institutions universitaires, aux médias, aux groupes de réflexion et aux ONG, dans le but de surveiller les récits dissidents et les discussions politiques. Des secteurs tels que le pétrole et le gaz, l'industrie pharmaceutique, l'aérospatiale, la technologie, les soins de santé, les services financiers et l'énergie sont également fréquemment touchés, ce qui montre que les objectifs de l'espionnage économique et politique sont très variés.
Les victimes de l'APT35
Parmi les principales victimes figurent des membres du personnel des gouvernements américain et européen, des institutions universitaires israéliennes et des organisations telles que l'Organisation mondiale de la santé (OMS). En 2025, un établissement universitaire israélien a été spécifiquement ciblé par un fichier LNK malveillant hébergé sur Google Drive, reprenant les tactiques utilisées lors d'intrusions précédentes contre des groupes de réflexion basés aux États-Unis.
Méthode d'attaque d'APT35
Obtenu principalement par le biais de courriels de spear phishing et d'ingénierie sociale sur des plateformes telles que LinkedIn et WhatsApp. De faux personnages et des sites web d'apparence légitime sont utilisés pour tromper les cibles.
Il s'agit de créer ou d'activer des comptes par défaut ou des comptes d'administrateur, et d'utiliser des outils tels que PowerShell ou Mimikatz pour élever les privilèges.
Le groupe désactive les antivirus, les journaux d'événements et la protection LSA; il utilise également des techniques de masquage et d'obscurcissement pour éviter d'être détecté.
Vole des informations d'identification à partir de navigateurs et de VPN, vide la mémoire LSASS et abuse d'Outlook Web Access (OWA) pour obtenir un accès plus approfondi.
APT35 effectue une découverte complète de l'hôte, du réseau et du compte à l'aide d'outils tels que WMI, Ping et nltest.
Utilise RDP, des tâches planifiées et des outils copiés pour pivoter à travers le réseau.
Il se concentre sur la collecte des courriels, l'enregistrement des touches, la capture des captures d'écran et la collecte des fichiers .PST sensibles et des fichiers LSASS.
Exécute des charges utiles malveillantes à l'aide de PowerShell, de VBS et de fichiers de raccourcis malveillants (LNK).
Utilise des outils comme gzip, RAR, et des services comme Telegram API et Google Drive pour exfiltrer des données.
Bien que principalement axé sur l'espionnage, APT35 a démontré des capacités de chiffrement de données à l'aide de BitLocker et DiskCryptor, ce qui laisse entrevoir un potentiel de ransomware dans certaines opérations.
Obtenu principalement par le biais de courriels de spear phishing et d'ingénierie sociale sur des plateformes telles que LinkedIn et WhatsApp. De faux personnages et des sites web d'apparence légitime sont utilisés pour tromper les cibles.
Il s'agit de créer ou d'activer des comptes par défaut ou des comptes d'administrateur, et d'utiliser des outils tels que PowerShell ou Mimikatz pour élever les privilèges.
Le groupe désactive les antivirus, les journaux d'événements et la protection LSA; il utilise également des techniques de masquage et d'obscurcissement pour éviter d'être détecté.
Vole des informations d'identification à partir de navigateurs et de VPN, vide la mémoire LSASS et abuse d'Outlook Web Access (OWA) pour obtenir un accès plus approfondi.
APT35 effectue une découverte complète de l'hôte, du réseau et du compte à l'aide d'outils tels que WMI, Ping et nltest.
Utilise RDP, des tâches planifiées et des outils copiés pour pivoter à travers le réseau.
Il se concentre sur la collecte des courriels, l'enregistrement des touches, la capture des captures d'écran et la collecte des fichiers .PST sensibles et des fichiers LSASS.
Exécute des charges utiles malveillantes à l'aide de PowerShell, de VBS et de fichiers de raccourcis malveillants (LNK).
Utilise des outils comme gzip, RAR, et des services comme Telegram API et Google Drive pour exfiltrer des données.
Bien que principalement axé sur l'espionnage, APT35 a démontré des capacités de chiffrement de données à l'aide de BitLocker et DiskCryptor, ce qui laisse entrevoir un potentiel de ransomware dans certaines opérations.
TTP utilisées par l'APT35
Comment détecter APT35 avec Vectra AI
Liste des détections disponibles dans la plateforme Vectra AI qui indiqueraient une attaque APT.
Foire aux questions
Avec qui l'APT35 est-elle affiliée ?
APT35 est lié au Corps des gardiens de la révolution islamique d'Iran (IRGC) et opère dans le cadre de son mandat de renseignement.
Qu'est-ce qui différencie l'APT35 des autres groupes iraniens ?
APT35 se distingue par son ingénierie sociale approfondie et la création de fausses identités en ligne, impliquant souvent un engagement en plusieurs étapes avant que les charges utiles malveillantes ne soient livrées.
Quelles sont leurs principales tactiques d'accès initial ?
Ils utilisent des liens de phishing , des pièces jointes malveillantes, des téléchargements " drive-by " et l'usurpation d'identité dans les médias sociaux.
Quels sont les outils malware utilisés par APT35 ?
Les outils les plus connus sont PowerWindow, Parastoo RAT, Maelstrom RAT, MediaPl, NICECURL et des malware Android personnalisés.
Comment APT35 échappe-t-il à la détection ?
Ils utilisent l'obscurcissement, la communication cryptée, la dissimulation et exploitent souvent des services cloud confiance tels que Google Drive.
Sont-ils connus pour utiliser des "zero-days" ou des CVE spécifiques ?
Oui, y compris les vulnérabilités CVE-2022-30190 (Follina), ProxyShell, Log4Shell et Fortinet SSL VPN.
Comment les organisations peuvent-elles détecter l'activité d'APT35 ?
Recherchez des signes tels qu'une exécution PowerShell inhabituelle, un accès à la mémoire LSASS, des sessions RDP via des ports non standard et un accès suspect au domaine.
Quelles sont les techniques C2 utilisées ?
APT35 utilise des domaines légitimes compromis, des services web, SOAP, IRC et des proxies HTTP cryptés.
Comment atténuer les effets du phishing d'APT35 ?
Déployer le filtrage du courrier électronique, l'analyse des pièces jointes et la formation des utilisateurs, ainsi que des solutions de réécriture d'URL/de mise en bac à sable.
Quels sont les outils de détection qui peuvent aider à stopper APT35 ?
Les solutions de détection et réponse aux incidents (NDR) sont très efficaces contre les tactiques d'APT35. Étant donné que le groupe s'appuie sur la commande et le contrôle via des protocoles web, l'utilisation de canaux cryptés et l'exfiltration de données via des services cloud , les plateformes NDR offrent une visibilité approfondie du trafic est-ouest et du trafic sortant.