AppDomainManager Hijacking

🔍 Contexte Publié le 22 mai 2026 par Unit 42 (Palo Alto Networks), cet article documente les activités récentes du groupe APT à nexus iranien Screening Serpens (alias UNC1549, Smoke Sandstorm, Iranian Dream Job), actif depuis au moins 2022. Les campagnes analysées couvrent la période mi-février à avril 2026, en corrélation avec un conflit régional débuté le 28 février 2026 au Moyen-Orient. 🎯 Ciblage et victimologie Les entités ciblées sont localisées dans : ...

🔍 Contexte Publié le 17 avril 2026 par CYFIRMA, ce rapport présente l’analyse technique approfondie d’un framework post-exploitation avancé baptisé Operation PhantomCLR, ciblant des organisations du Moyen-Orient et du secteur financier EMEA. 🎯 Vecteur d’infection L’attaque débute par un spear-phishing livrant une archive ZIP contenant six composants : IAStorHelp.exe — binaire Intel légitime et signé IAStorHelp.exe.config — fichier de configuration CLR weaponisé IAStorHelpMosquitoproof.dll — DLL .NET malveillante setting.yml — payload chiffré AES Work From Home Policy Update.pdf.lnk — déclencheur LNK masqué en PDF Un PDF leurre en arabe imitant un document officiel du gouvernement saoudien Le fichier LNK utilise une double extension (.pdf.lnk) et résout l’icône PDF de Microsoft Edge pour tromper la victime. Le PDF leurre imite un document du Ministère saoudien avec formatage officiel, calendrier hégirien et typographie arabe authentique. ...