Fuite « Episode 4 » : l’intendance d’APT35 (Charming Kitten) dévoilée et son lien avec Moses Staff

DomainTools Investigations publie une analyse d’« Episode 4 » révélant les coulisses d’APT35/Charming Kitten. Le leak ne montre pas de nouveaux exploits, mais la machinerie de procurement, paiement et déploiement (tableurs, reçus crypto, comptes) et met en évidence un chevauchement d’infrastructure avec le collectif destructif Moses Staff.

Le cœur des documents est un triptyque de feuilles CSV: un ledger de services (~170 lignes) listant domaines, hébergeurs (ex. EDIS, NameSilo, Impreza), notes d’SSL, >50 identités ProtonMail et >80 paires d’identifiants en clair; un journal de paiements BTC (55 entrées, 2023-10→2024-12) montrant des micro-paiements (≈56 $/0,0019 BTC) alignés à des tickets internes; et une feuille réseau avec blocs IP (/29–/30) et annotations persanes correspondant à des VPS actifs. Ensemble, ces fichiers relient demande → paiement → activation.

L’« économie de l’accès » se traduit par des micro-transactions via Cryptomus (12–18 €) pour des VPS low-cost en Europe (EDIS, Impreza), un modèle « abonnement » à l’infrastructure offensive et des alias jetables (ProtonMail) créés pour une seule action (enregistrement domaine, achat VPS), puis brûlés. Le leak souligne une hygiène opérationnelle défaillante post-exposition (mots de passe, serveurs et accès restés en ligne), révélant un appareil bureaucratique, régulier mais prévisible dans ses schémas.

Le lien avec Moses Staff est rendu explicite par l’entrée « moses-staff[.]io » dans le ledger, le réemploi des mêmes boîtes ProtonMail (ex. bbmovement@, meriyalee@, cybersonix@), des registrars récurrents et le calendrier corrélé aux vagues publiques (2021–2025). L’analyse conclut que l’« image hacktiviste » Moses Staff s’adosse à la structure administrative d’APT35, partageant comptes-payables, VPS, paiements crypto et un workflow commun pour l’IO, l’espionnage et l’effet psychologique.

IoCs et empreintes (extraits) 🧾

Domaines opérationnels: bbmovements.com; cavinet.org; secnetdc.com; tecret.com; termite.nu; dreamy-jobs.com; wazayif-halima.org; israel-talent.com; israel-talent.xyz; kanplus.org
Domaines Moses Staff: moses-staff.io; moses-staff.se; moses-staff.to
Fournisseurs/hébergement récurrents: EDIS Global (Chypre, AS57169); CloudDNS lié à AS203391; labels internes « Server Samane » (AS16509); VPS Bulgarie (AS21340)
Emails/proton: bbmovement@protonmail.com; meriyalee@protonmail.com; cybersonix@protonmail.com; john.porter857@protonmail.com; carlos.patel@protonmail.com; lolita259@proton.me; … (liste étendue dans l’article)
Alias: Maja Bosman; Levis Cross; Sheldon Bayer; Edgar Evseev; Mekhaeel Kalashnikova; Shirley Bishop; Clark Norman; Julius Yermolayev
Wallets BTC (extraits): 3F2KWMSkjFdskQ2gV6pm4NA7JH2dx3jfCA; 16JMV9srqVDrK9u6z5cgKQjxnbJJp6gSxi; 32HF3h685344uJe7RMhhp5s5oBjaQq6BQh; bc1q567mrap7x4mwva2wlea3x9nc78pgp7dxspe6su; … ; 1K93styPFkDGsTYNjgqaDN6xWy5NmUDLhh (wallet collecteur agrégateur vidé au snapshot)
IP clusters: 128.199.237.132 (DigitalOcean); 212.175.168.58 (Türk Telekom); 212.12.178.178 (Nour, SA); 1.235.222.140 (KRNIC, KR); 109.125.132.66 (Iran); 83.96.77.227 (Koweït)

TTPs (mappage MITRE, sélection) 🧩

Reconnaissance: T1595 (scans actifs), T1598 (phishing d’info)
Accès initial: T1566 (phishing thématique emploi), T1078 (comptes valides)
Évasion/déni: T1036 (mascarade via alias/domaines), T1027 (contenu chiffré/obfusqué), T1564.003 (identités mail jetables)
C2/Exfiltration/Impact: T1071 (HTTP/S C2), T1105 (transfert d’outils), T1567.002 (exfiltration vers services web via leak sites), T1491 (défacement/PSYOPS), T1485 (destruction de données)
Acquisition/finances: T1583.001/.003 (achats domaines/VPS), T1585.001 (création comptes email), « Cryptomus » comme rail de paiement (couche financière récurrente)

Il s’agit d’une analyse de menace visant à documenter l’infrastructure, la logistique financière et le chevauchement opérationnel APT35/Moses Staff, assortie d’IoCs et de TTPs détaillés.

🧠 TTPs et IOCs détectés

TTP

[‘T1595 (scans actifs)’, ‘T1598 (phishing d’info)’, ‘T1566 (phishing thématique emploi)’, ‘T1078 (comptes valides)’, ‘T1036 (mascarade via alias/domaines)’, ‘T1027 (contenu chiffré/obfusqué)’, ‘T1564.003 (identités mail jetables)’, ‘T1071 (HTTP/S C2)’, ‘T1105 (transfert d’outils)’, ‘T1567.002 (exfiltration vers services web via leak sites)’, ‘T1491 (défacement/PSYOPS)’, ‘T1485 (destruction de données)’, ‘T1583.001 (achats domaines)’, ‘T1583.003 (achats VPS)’, ‘T1585.001 (création comptes email)’]

IOC

{‘domains’: [‘bbmovements.com’, ‘cavinet.org’, ‘secnetdc.com’, ’tecret.com’, ’termite.nu’, ‘dreamy-jobs.com’, ‘wazayif-halima.org’, ‘israel-talent.com’, ‘israel-talent.xyz’, ‘kanplus.org’, ‘moses-staff.io’, ‘moses-staff.se’, ‘moses-staff.to’], ’emails’: [‘bbmovement@protonmail.com’, ‘meriyalee@protonmail.com’, ‘cybersonix@protonmail.com’, ‘john.porter857@protonmail.com’, ‘carlos.patel@protonmail.com’, ’lolita259@proton.me’], ‘btc_wallets’: [‘3F2KWMSkjFdskQ2gV6pm4NA7JH2dx3jfCA’, ‘16JMV9srqVDrK9u6z5cgKQjxnbJJp6gSxi’, ‘32HF3h685344uJe7RMhhp5s5oBjaQq6BQh’, ‘bc1q567mrap7x4mwva2wlea3x9nc78pgp7dxspe6su’, ‘1K93styPFkDGsTYNjgqaDN6xWy5NmUDLhh’], ‘ip_addresses’: [‘128.199.237.132’, ‘212.175.168.58’, ‘212.12.178.178’, ‘1.235.222.140’, ‘109.125.132.66’, ‘83.96.77.227’]}

🔗 Source originale : https://dti.domaintools.com/the-apt35-dump-episode-4-leaking-the-backstage-pass-to-an-iranian-intelligence-operation/

🧠 TTPs et IOCs détectés#

TTP#

IOC#

🧠 TTPs et IOCs détectés

TTP

IOC