🔍 Contexte

Publié le 6 juillet 2026 par Check Point Research (CPR), cet article présente une analyse technique approfondie de Cavern Manticore, un acteur de menace à nexus iranien suivi depuis début 2026. L’acteur est lié au MOIS (Ministry of Intelligence and Security) iranien et présente des chevauchements techniques avec MuddyWater et Lyceum (sous-groupe d’OilRig).

🎯 Victimologie et objectifs

Cavern Manticore cible principalement des organisations israéliennes, avec un focus sur les secteurs gouvernemental et IT. L’acteur exploite les chaînes de sous-traitance IT : il compromet d’abord un fournisseur IT, puis pivote vers un second fournisseur avant d’atteindre la cible finale. Des outils RMM (Remote Monitoring and Management) légitimes sont abusés pour le mouvement latéral et le déploiement de malwares.

🛠️ Framework Cavern – Architecture modulaire

Le framework Cavern est un C2 post-exploitation entièrement basé sur .NET, compilé en trois formats binaires distincts :

  • .NET Framework (IL-only) : modules mhm.dll, db.dll, ode.dll
  • Mixed-Mode C++/CLI (IL + Native) : agent uxtheme.dll
  • .NET 8 NativeAOT (Native-only) : modules n-HTCommp.dll, n-ten.dll, n-sws.dll

La chaîne d’exécution débute par l’abus de la fonctionnalité de déploiement logiciel de SysAid pour déposer un package de DLL sideloading WinDirStat dans C:\ProgramData\WinDir\WinDirStat.exe. Le binaire légitime charge la DLL trojanisée uxtheme.dll (agent Cavern), qui charge n-HTCommp.dll pour la communication C2.

🧩 Composants du framework

Composant Fichier Rôle
Agent Cavern uxtheme.dll Backdoor principal, orchestrateur de modules
Module de communication n-HTCommp.dll Transport HTTPS/WebSocket, trafic XOR-chiffré
Gestionnaire de fichiers mhm.dll Ops fichiers, déchiffrement DPAPI, archives
Navigateur SQL db.dll Énumération, requêtes, export de bases de données
Module LDAP ode.dll Reconnaissance AD, brute-force LDAP
Module réseau n-ten.dll Recon réseau, scan de ports, brute-force SMB
Module tunnel n-sws.dll Proxy SOCKS5, tunneling WebSocket/WSS

🔐 Techniques anti-analyse

  • Trois formats de compilation forçant l’analyste à utiliser plusieurs toolchains simultanément
  • Isolation AppDomain par module avec déchargement post-exécution (anti-forensics)
  • NativeAOT : résolution des API sensibles via tables de descripteurs P/Invoke (absentes de la table d’import PE)
  • Façade UxTheme : 82 exports vides sur 83, seul EnableThemeDialogTexture (ordinal #20) est actif
  • Nettoyage du répertoire de travail au démarrage (suppression des modules précédents)
  • Taux de détection nul ou très faible sur VirusTotal

📡 Communication C2

Le module n-HTCommp.dll implémente un dispatcher HTTP/WebSocket avec les verbes : get, send, cget, cpost, upload, ws, getws, sendws, closews. Le trafic C2 est XOR-chiffré (clé 0x48) puis encodé en Base64 pour le transport HTTP. Un User-Agent Microsoft Edge fixe est utilisé : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/146.0.0.0 Safari/537.36 Edg/146.0.0.0.

🏷️ Attribution

  • Chemin PDB : C:\Users\rick\Desktop\Modules\cavern\
  • Infrastructure C2 : sous-domaines de hospitalinstallation[.]com, enregistré via Fars Data, hébergeur iranien
  • Overlaps techniques avec Lyceum (OilRig) et MuddyWater
  • Évolution documentée depuis un outil antérieur nommé Cav3rn (leetspeak)
  • Mutexes caractéristiques : MYMUTEX123HELLP02, MYMUTEX123HELLP04

📄 Nature de l’article

Il s’agit d’une publication de recherche technique approfondie produite par Check Point Research, visant à documenter un nouveau framework C2 iranien, ses composants, ses techniques d’évasion et ses indicateurs de compromission pour la communauté CTI et les défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

TTP

  • T1574.002 — Hijack Execution Flow: DLL Side-Loading (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1071.004 — Application Layer Protocol: DNS (Command and Control)
  • T1095 — Non-Application Layer Protocol (Command and Control)
  • T1573.001 — Encrypted Channel: Symmetric Cryptography (Command and Control)
  • T1055 — Process Injection (Defense Evasion)
  • T1140 — Deobfuscate/Decode Files or Information (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1018 — Remote System Discovery (Discovery)
  • T1087.002 — Account Discovery: Domain Account (Discovery)
  • T1069.002 — Permission Groups Discovery: Domain Groups (Discovery)
  • T1110.003 — Brute Force: Password Spraying (Credential Access)
  • T1552.004 — Unsecured Credentials: Private Keys (Credential Access)
  • T1005 — Data from Local System (Collection)
  • T1560.001 — Archive Collected Data: Archive via Utility (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1090.001 — Proxy: Internal Proxy (Command and Control)
  • T1090.004 — Proxy: Domain Fronting (Command and Control)
  • T1021.002 — Remote Services: SMB/Windows Admin Shares (Lateral Movement)
  • T1072 — Software Deployment Tools (Execution)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1070.004 — Indicator Removal: File Deletion (Defense Evasion)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1112 — Modify Registry (Defense Evasion)
  • T1057 — Process Discovery (Discovery)
  • T1482 — Domain Trust Discovery (Discovery)
  • T1016 — System Network Configuration Discovery (Discovery)
  • T1049 — System Network Connections Discovery (Discovery)
  • T1007 — System Service Discovery (Discovery)
  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)

IOC

  • Domaines : hospitalinstallation.comVT · URLhaus · ThreatFox
  • Domaines : auth.hospitalinstallation.comVT · URLhaus · ThreatFox
  • Domaines : google.com.hospitalinstallation.comVT · URLhaus · ThreatFox
  • Domaines : adserviceupdate.comVT · URLhaus · ThreatFox
  • Domaines : hygienehistory.comVT · URLhaus · ThreatFox
  • URLs : https://adserviceupdate.com/cac.aspxURLhaus
  • URLs : https://hygienehistory.com/cac.aspxURLhaus
  • SHA256 : 37e123bd7998af4eae32718ce254776f36365a80ba56952593dab46f536d4066VT · MalwareBazaar
  • SHA256 : 92cae0ad7f98f51a14bcc0ee05e372ebdc29ea96ea7bd161bd3f55198767603bVT · MalwareBazaar
  • SHA256 : 5dc08bda6919a57a85e5f38b857985fa71529ca39c8299868d5a49a987e19b18VT · MalwareBazaar
  • SHA256 : a4aa217def4c38f4ecacdf47b1cd687f60cc74c18ab75195be3c4357a790bf41VT · MalwareBazaar
  • SHA256 : b630c96d3763182533d4fb9b614134382bd644cb02c6c1c3ade848b6ecc31e86VT · MalwareBazaar
  • SHA256 : 8e9425c0b46eeb516610ae913d13f2b3f44a023043cb099277031d4ec38a6134VT · MalwareBazaar
  • SHA256 : 0a3663648a46771a5a5423ad01e91a4e7ba825595e99fa934cb35cbb4848adc8VT · MalwareBazaar
  • SHA256 : 5394d3b220de4695f731647e3a70545f951a8912ceb0c6585efab8d6842e8b42VT · MalwareBazaar
  • SHA256 : 30cb4679c4b8599eeb3d63a551716475c6332bdc4d4b4e3de0964aadb3092a10VT · MalwareBazaar
  • SHA256 : 2cb1ad3b22db8e3666ea138fee88034a87a87cf43db3d3265a675ebf221379b0VT · MalwareBazaar
  • SHA256 : 7d586fb7f94182a8e2a0e53c7e4deb898066da029da5cd9972a94a59ca6d255aVT · MalwareBazaar
  • SHA256 : 541b1f417b9e42078c3355693a8a492b6a76048850f6549a429e0be99e6819cbVT · MalwareBazaar
  • SHA256 : cbc9485db715e1b8cc384fe94b4cceadca4006cda8a5e28adc8848529cfafc93VT · MalwareBazaar
  • SHA256 : ccf218189c3aadb1c761da14bfda3bae686769031e1e1b10007648bd72e34748VT · MalwareBazaar
  • Fichiers : uxtheme.dll
  • Fichiers : n-HTCommp.dll
  • Fichiers : mhm.dll
  • Fichiers : db.dll
  • Fichiers : ode.dll
  • Fichiers : n-ten.dll
  • Fichiers : n-sws.dll
  • Fichiers : WinDirStat.exe
  • Fichiers : config.txt
  • Fichiers : cac.aspx
  • Chemins : C:\ProgramData\WinDir\WinDirStat.exe
  • Chemins : C:\Users\rick\Desktop\Modules\cavern\

Malware / Outils

  • Cavern (framework)
  • Cav3rn (framework)
  • uxtheme.dll (Cavern Agent) (backdoor)
  • n-HTCommp.dll (tool)
  • mhm.dll (tool)
  • db.dll (tool)
  • ode.dll (tool)
  • n-ten.dll (tool)
  • n-sws.dll (tool)
  • CAV3RN_Http_Module (tool)

🟢 Indice de vérification factuelle : 95/100 (haute)

  • ✅ research.checkpoint.com — source reconnue (liste interne) (20pts)
  • ✅ 48186 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 33 IOCs dont des hashes (15pts)
  • ✅ 6/8 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 30 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Cavern Manticore, MuddyWater, Lyceum (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 37e123bd7998af4e… (sha256) → VT (21/75 détections)
  • 92cae0ad7f98f51a… (sha256) → VT (20/75 détections)
  • 5dc08bda6919a57a… (sha256) → VT (19/75 détections)
  • hospitalinstallation.com (domain) → VT (14/91 détections)
  • auth.hospitalinstallation.com (domain) → VT (13/91 détections)

🔗 Source originale : https://research.checkpoint.com/2026/cavern-manticore-exposing-iran-linked-modular-c2-framework/