APT Iranien

Source et contexte — Selon Nariman Gharib (03/12/2025), le groupe cyber « Banished Kitten » alias Handala, affilié au Ministère iranien du Renseignement (MOIS), a dévoilé par erreur un accès à des systèmes de l’aéroport Suvarnabhumi (BKK), Bangkok en tentant d’attribuer la compromission à des aéroports israéliens. Le « raté » opérationnel — Le 15 novembre 2025, Handala a publié « Smile for the Camera – Handala Is Watching » en se targuant d’un accès aux « systèmes de sécurité aéroportuaire du Shabak » (Israël) et en menaçant d’être présent « jusque dans les caméras de sortie des portes ». Or, la comparaison des images publiées avec des références publiques montre qu’il s’agit de BKK (Bangkok), pas de Ben Gourion : charpente métallique apparente, configuration du hall immigration, barrières de file d’attente et escalators typiques de Suvarnabhumi. L’article souligne qu’il s’agit de la première divulgation publique par le groupe d’un accès à une infrastructure critique hors d’Israël. 🎥🛫 ...

Selon Group-IB, MuddyWater (APT iranien soutenu par l’État) est passé d’opérations opportunistes via outils RMM (remote monitoring and management) à des campagnes ciblées et sophistiquées contre des entités au Moyen-Orient, en Europe et aux États-Unis, dont des infrastructures critiques, gouvernements et télécoms. L’accès initial reste largement mené via du phishing et des documents Office malveillants. 🕵️‍♂️ Le groupe opère plusieurs backdoors personnalisées avec des protocoles C2 distincts : BugSleep (pseudo-TLV custom sur TCP avec chiffrement AES), StealthCache (HTTP/HTTPS avec des endpoints dédiés), et Phoenix (HTTP avec endpoints d’enregistrement et de beaconing). Le loader Fooder s’appuie sur Windows CryptAPI pour déchiffrer les charges, met en œuvre du DLL side-loading et du multi-threading pour l’évasion. 🧩 ...