Mandiant estime avec une confiance modérée que le groupe APT42 opère pour le compte des Corps des Gardiens de la révolution islamique, sur la base de modèles de ciblage qui s’alignent sur les mandats et priorités opérationnels de l’organisation. Le rapport complet publié couvre l’activité récente et historique du groupe APT42 remontant au moins à 2015, les tactiques, techniques et procédures du groupe, les modèles de ciblage, et élucide les liens historiques avec le groupe APT35. Le groupe APT42 coïncide partiellement avec les rapports publics sur TA453 (Proofpoint), Yellow Garuda (PwC), ITG18 (IBM X-Force), Phosphorus (Microsoft) et Charming Kitten (ClearSky et CERTFA).

Opérations du groupe APT42

Le groupe APT42 utilise des techniques de spear-phishing et d’ingénierie sociale très ciblées, conçues pour établir une relation de confiance avec ses victimes afin d’accéder à leurs comptes de messagerie personnels ou professionnels ou d’installer un malware Android sur leurs appareils mobiles. En outre, le groupe APT42 utilise rarement des malwares Windows pour compléter ses efforts de surveillance et de collecte d’informations d’identification.

Les opérations du groupe APT42 se répartissent en trois grandes catégories :

• Récolte d’informations d’identification : Le groupe APT42 cible fréquemment les comptes de messagerie des entreprises et des particuliers par le biais de campagnes de spear-phishing très ciblées, en mettant l’accent sur l’établissement d’une relation de confiance avec la cible avant de tenter de voler ses informations d’identification. Mandiant dispose également d’indications selon lesquelles le groupe exploite la récolte d’informations d’identification pour collecter des codes d’authentification multi-facteurs (MFA) afin de contourner les méthodes d’authentification et utilise des informations d’identification compromises pour tenter d’accéder aux réseaux, aux appareils et aux comptes des employeurs, des collègues et des proches de la victime initiale.

• Opérations de surveillance : Depuis au moins la fin de l’année 2015, un sous-ensemble de l’infrastructure d’APT42 a servi de serveurs de commande et de contrôle (C&C) pour des malwares mobiles Android conçus pour suivre les emplacements, surveiller les communications et, de manière générale, les activités d’individus présentant un intérêt pour le gouvernement iranien, notamment les activistes et les dissidents en Iran.

• Déploiement du malware : Si le groupe APT42 préfère principalement la récolte d’informations d’identification à l’activité sur disque, plusieurs backdoors personnalisées et outils légers complètent son arsenal. Le groupe intègre probablement ces outils dans ses opérations lorsque les objectifs vont au-delà de la collecte d’informations d’identification.

Mandiant a observé plus de 30 opérations ciblées confirmées d’APT42 couvrant ces catégories depuis début 2015. Le nombre total d’opérations d’intrusion du groupe APT42 est certainement beaucoup plus élevé, compte tenu du rythme opérationnel élevé du groupe, des lacunes en matière de visibilité causées en partie par le ciblage des comptes de messagerie personnels et des efforts nationaux du groupe, ainsi que des nombreux rapports de l’industrie open source sur les groupes de menaces probablement associés à APT42.

Modèles de ciblage du groupe APT42

Les modèles de ciblage des opérations du groupe APT42 sont similaires à ceux d’autres acteurs iraniens du cyber espionnage, avec une grande partie de son activité concentrée sur la région du Moyen-Orient. Cependant, contrairement à d’autres groupes de cyber espionnage soupçonnés d’être affiliés à l’IRGC, qui se sont concentrés les acteurs industrielle de la défense ou sur la collecte à grande échelle d’informations personnelles identifiables (PII), le groupe APT42 cible principalement des organisations et des individus considérés comme des opposants ou des ennemis du régime, en accédant spécifiquement à leurs comptes personnels et à leurs appareils mobiles. Le groupe a toujours ciblé les groupes de réflexion occidentaux, les chercheurs, les journalistes, les responsables gouvernementaux occidentaux actuels, les anciens responsables gouvernementaux iraniens et la diaspora iranienne à l’étranger.

Certaines activités du groupe APT42 indiquent qu’il modifie ses objectifs opérationnels en fonction de l’évolution des priorités de l’Iran, notamment des opérations ciblées contre le secteur pharmaceutique au début de la pandémie du COVID-19 en mars 2020 et la poursuite de groupes d’opposition nationaux et étrangers avant une élection présidentielle iranienne. Cela indique que le gouvernement iranien fait confiance à APT42 pour réagir rapidement aux changements géopolitiques en adaptant ses opérations flexibles aux cibles présentant un intérêt opérationnel pour Téhéran.

Liens potentiels entre l’APT42 et l’activité des ransomwares

Mandiant met également en avant des rapports open source de Microsoft faisant état d’un lien entre des groupes d’activités d’intrusion qui s’alignent généralement sur APT42 et UNC2448, un acteur de la menace de type Iran-nexus connu pour ses analyses généralisées de diverses vulnérabilités, l’utilisation de l’outil Fast Reverse Proxy et les activités de ransomware signalées utilisant BitLocker. Mandiant n’a pas observé de chevauchements techniques entre APT42 et UNC2448.

• En novembre 2021, Microsoft a signalé que « Phosphorus » avait ciblé le VPN SSL Fortinet FortiOS et des serveurs Exchange sur site non corrigés dans le monde entier, dans l’intention de déployer des ransomwares tels que BitLocker sur des réseaux vulnérables, ce qui correspond à l’activité que Mandiant suit sous le nom d’UNC2448. Les rapports précédents sur Phosphorus s’alignaient généralement sur les opérations de collecte de données d’identification et de harcèlement moral d’APT42.

Bien que Mandiant n’ait pas observé de chevauchements techniques entre APT42 et UNC2448, ce dernier pourrait également avoir des liens avec l’IRGC-IO. Mandiant estime avec une confiance modérée qu’UNC2448 et le personnage Revengers Telegram sont exploités par au moins deux sociétés écrans iraniennes, Najee Technology et Afkar System, sur la base d’informations open source et de manquements à la sécurité opérationnelle par les hackers. Les campagnes de fuites publiques du compte Telegram Lab Dookhtegan affirment en outre que ces sociétés sont responsables d’une activité de menace alignée sur l’UNC2448 et opèrent au nom de l’IRGC-IO.

• Mandiant a identifié des liens entre l’UNC2448, le personnage de Revengers, un individu nommé Ahmad Khatibi et une société écran probablement iranienne nommée Afkar System.
• Le personnage Revengers a proposé à la vente des données et des accès à des entreprises principalement israéliennes sur sa chaîne Telegram entre février et septembre 2021.
• En outre, des chevauchements d’infrastructure probablement causés par une erreur humaine indiquent que UNC2448 a des liens avec une deuxième société écran, Najee Technology.
• Les messages publics publiés par la chaîne Telegram de Lab Dookhtegan en juillet 2022 affirment qu’Afkar System et Najee Technology sont des sociétés écrans qui mènent des cyber-opérations pour le compte de l’organisation de renseignement de l’IRGC.

Perspectives d’avenir

L’activité du groupe APT42 représente une menace pour les responsables de la politique étrangère, les commentateurs et les journalistes, en particulier ceux des États-Unis, du Royaume-Uni et d’Israël, qui travaillent sur des projets liés à l’Iran. En outre, l’activité de surveillance du groupe met en évidence le risque réel que courent les cibles individuelles des opérations d’APT42, notamment les Iraniens possédant la double nationalité, les anciens fonctionnaires et les dissidents, qu’ils se trouvent en Iran ou qu’ils aient quitté le pays, souvent par crainte pour leur sécurité personnelle.

Nous ne prévoyons pas de changements significatifs dans les tactiques opérationnelles et le mandat d’APT42, compte tenu de sa longue histoire d’activité et de son imperméabilité au démantèlement d’infrastructures et à l’attention portée par les médias aux défaillances de la sécurité opérationnelle. Néanmoins, le groupe a démontré sa capacité à modifier rapidement son orientation opérationnelle, les priorités de l’Iran changeant au fil du temps avec l’évolution des conditions nationales et géopolitiques. Nous estimons avec une grande confiance qu’APT42 continuera à mener des opérations de cyber espionnage et de surveillance alignées sur l’évolution des besoins iraniens en matière de collecte de renseignements opérationnels.