🔍 Contexte

Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient.

🎯 Ciblage et victimologie

Les entités ciblées sont localisées dans :

  • États-Unis (campagnes mars et mars 2026)
  • IsraĂ«l (campagne mars 2026)
  • Émirats arabes unis (campagne avril 2026)
  • Deux entitĂ©s supplĂ©mentaires au Moyen-Orient (fĂ©vrier et avril 2026)

Les secteurs visĂ©s incluent l’aĂ©rospatiale, la dĂ©fense, les tĂ©lĂ©communications et la technologie, avec un ciblage particulier des professionnels en recherche d’emploi.

🩠 Nouvelles familles de malwares

Six nouveaux variants de RAT ont été identifiés, regroupés en deux familles :

MiniUpdate (4 variants) :

  • Chargeur initial InitInstall.dll dĂ©chiffrant sa configuration via inversion d’octets UTF-8 + ROT13
  • Persistance via tĂąche planifiĂ©e dĂ©clenchĂ©e Ă  09h30 quotidiennement
  • Dispatcher de commandes : 16 opcodes (mars) puis 18 opcodes (avril)
  • CapacitĂ©s : exĂ©cution shell, chargement de DLL en mĂ©moire, manipulation de processus, exfiltration par chunks, Ă©lĂ©vation de privilĂšges UAC
  • C2 hĂ©bergĂ©s sur Azure, rotatifs par campagne

MiniJunk V2 (2 variants, évolution de MiniJunk documenté par Check Point) :

  • ChaĂźne de sideloading via Setup.exe + uevmonitor.dll
  • Payloads : SoftwareLicencing.exe (binaire Microsoft lĂ©gitime renommĂ©) + unbcl.dll (RAT obfusquĂ©)
  • Persistance via tĂąche planifiĂ©e nommĂ©e “Synchronize OS”
  • Obfuscation lourde : Mixed Boolean-Arithmetic, XOR, junk strings (~12 Mo)
  • VĂ©rification de date d’exĂ©cution (aprĂšs le 27 mars 2026 13:30:00 UTC) pour Ă©viter les sandboxes
  • C2 imitant des noms de services Windows lĂ©gitimes

⚙ Technique clĂ© : AppDomainManager Hijacking

PremiÚre utilisation documentée par Screening Serpens de cette technique avancée :

  • Manipulation du fichier de configuration .NET lĂ©gitime pour hijacker l’initialisation du CLR
  • Directives XML malveillantes :
    • <etwEnable enabled="false"/> : dĂ©sactivation d’ETW (tĂ©lĂ©mĂ©trie EDR)
    • <bypassTrustedAppStrongNames enabled="true"/> : contournement de la validation de signature
    • <publisherPolicy apply="no"/> : blocage des redirections de sĂ©curitĂ©
    • <requiredRuntime safemode="true"/> : environnement d’exĂ©cution contrĂŽlĂ©
  • ExĂ©cution du payload avant l’initialisation des dĂ©fenses endpoint (Pre-Main())

🎣 IngĂ©nierie sociale

Les leurres utilisés incluent :

  • Fausses offres d’emploi imitant une compagnie aĂ©rienne mondiale (PDFs avec IDs de postes)
  • Fausse page d’installation d’une plateforme de visioconfĂ©rence avec domaine lookalike
  • URL de recrutement spoofĂ©e hĂ©bergĂ©e sur ONLYOFFICE DocSpace
  • FenĂȘtre dĂ©coy “Meeting Room” demandant une URL de confĂ©rence

📡 Infrastructure C2

Le groupe utilise 3 à 5 domaines Azure dédiés par cible et variant, avec rotation réguliÚre imitant des entités légitimes (santé, finance, technologie, services Windows).

📄 Type d’article

Il s’agit d’une publication de recherche technique produite par Unit 42, visant Ă  documenter les TTPs, les IOCs et l’Ă©volution des capacitĂ©s offensives de Screening Serpens pour permettre la dĂ©tection et la rĂ©ponse aux incidents.

🧠 TTPs et IOCs dĂ©tectĂ©s

Acteurs de menace

  • Screening Serpens (state-sponsored) —

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1574.014 — Hijack Execution Flow: AppDomainManager (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1497.002 — Virtualization/Sandbox Evasion: User Activity Based Checks (Defense Evasion)
  • T1053.005 — Scheduled Task/Job: Scheduled Task (Persistence)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1055 — Process Injection (Defense Evasion)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1548.002 — Abuse Elevation Control Mechanism: Bypass User Account Control (Privilege Escalation)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1102 — Web Service (Command and Control)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)

IOC

  • Domaines : licencemanagers.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : LicenceSupporting.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : PeerDistSvcManagers.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : ThemesManagers.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : ThemesProviderManagers.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : docspace-y4cumb.onlyoffice.com — VT · URLhaus · ThreatFox
  • Domaines : NanoMatrix.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : QuantumWeave.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : ElementShift.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : business-startup.org — VT · URLhaus · ThreatFox
  • Domaines : business-startup.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : Businessstartup.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : buisness-centeral.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : buisness-centeral-transportation.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : Buisness-centeral-transportation.com — VT · URLhaus · ThreatFox
  • Domaines : docspace-twpf0e.onlyoffice.com — VT · URLhaus · ThreatFox
  • Domaines : PremierHealthAdvisory.com — VT · URLhaus · ThreatFox
  • Domaines : PremierHealthAdvisory.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : Premier-HealthAdvisory.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : Ramiltonsfinance.com — VT · URLhaus · ThreatFox
  • Domaines : Ramiltonsfinance.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : Ramiltons-finance.azurewebsites.net — VT · URLhaus · ThreatFox
  • Domaines : 2117.filemail.com — VT · URLhaus · ThreatFox
  • URLs : https://docspace-y4cumb.onlyoffice.com/storage/files/root/folder_3602000/file_3601577/v1/content.zip — URLhaus
  • URLs : https://docspace-twpf0e.onlyoffice.com/storage/files/root/folder_3765000/file_3764519/v1/content.zip — URLhaus
  • URLs : https://2117.filemail.com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm — URLhaus
  • SHA256 : 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250 — VT · MalwareBazaar
  • SHA256 : 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17 — VT · MalwareBazaar
  • SHA256 : 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864 — VT · MalwareBazaar
  • SHA256 : 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d — VT · MalwareBazaar
  • SHA256 : d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2 — VT · MalwareBazaar
  • SHA256 : bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad — VT · MalwareBazaar
  • SHA256 : 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27 — VT · MalwareBazaar
  • SHA256 : 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84 — VT · MalwareBazaar
  • SHA256 : b19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4 — VT · MalwareBazaar
  • SHA256 : 8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b — VT · MalwareBazaar
  • SHA256 : 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa — VT · MalwareBazaar
  • SHA256 : 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1 — VT · MalwareBazaar
  • Fichiers : Hiring Portal.zip
  • Fichiers : Portal.zip
  • Fichiers : Portable platform.zip
  • Fichiers : setup.exe
  • Fichiers : Setup.exe
  • Fichiers : UpdateChecker.dll
  • Fichiers : InitInstall.dll
  • Fichiers : Updater.dll
  • Fichiers : update.exe
  • Fichiers : update.exe.config
  • Fichiers : UpdateConfig.xml
  • Fichiers : uevmonitor.dll
  • Fichiers : unbcl.dll
  • Fichiers : Connection.dll
  • Fichiers : SoftwareLicencing.exe
  • Fichiers : Senior Software Engineer Job ID JR205894.pdf

Malware / Outils

  • MiniUpdate (rat)
  • MiniJunk V2 (rat)
  • MiniJunk (rat)

🟱 Indice de vĂ©rification factuelle : 95/100 (haute)

  • ✅ unit42.paloaltonetworks.com — source reconnue (liste interne) (20pts)
  • ✅ 45437 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 54 IOCs dont des hashes (15pts)
  • ✅ 6/9 IOCs confirmĂ©s (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 18 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifiĂ©(s) : Screening Serpens (5pts)
  • ⬜ pas de CVE Ă  vĂ©rifier (0pts)

IOCs confirmés externellement :

  • 44f4f7aca7f1d9bf
 (sha256) → VT (39/76 dĂ©tections)
  • 332ba2f0297dfb15
 (sha256) → VT (45/76 dĂ©tections)
  • 0db36a04d304ad96
 (sha256) → VT (40/76 dĂ©tections)
  • licencemanagers.azurewebsites.net (domain) → VT (18/91 dĂ©tections)
  • LicenceSupporting.azurewebsites.net (domain) → VT (13/91 dĂ©tections)

🔗 Source originale : https://unit42.paloaltonetworks.com/tracking-iran-apt-screening-serpens/