👉 APT42 a été signalé pour la première fois par Mandiant en septembre 2022, lequel a indiqué que les acteurs de la menace étaient actifs depuis 2015 et qu’ils avaient mené au moins 30 opérations dans 14 pays. Le groupe d’espionnage, qui serait affilié à l’Organisation de renseignement du Corps des gardiens de la révolution islamique d’Iran (IRGC-IO), a ciblé des organisations non gouvernementales, des médias, des établissements d’enseignement, des activistes et des services juridiques. Les attaques d’APT42 s’appuient sur l’ingénierie sociale et le spear-phishing, dans le but ultime d’infecter les appareils des cibles avec des portes dérobées personnalisées, permettant aux acteurs de la menace d’obtenir un accès initial aux réseaux des organisations.

👉 L’attaque commence par des courriels envoyés par des personnes en ligne se faisant passer pour des journalistes, des représentants d’ONG ou des organisateurs d’événements, à partir de domaines qui « typosquattent » (utilisent des URL similaires) à ceux d’organisations légitimes. Les organisations médiatiques dont APT42 s’est fait passer pour le Washington Post (États-Unis), The Economist (Royaume-Uni), The Jerusalem Post (IL), Khaleej Times (Émirats arabes unis), Azadliq (Azerbaïdjan). Une fois que les attaquants ont échangé suffisamment de données pour établir la confiance avec la victime, ils envoient un lien vers un document lié à une conférence ou à un article de presse, en fonction du sujet choisi pour le leurre. En cliquant sur les liens, les cibles sont dirigées vers de fausses pages de connexion qui imitent des services bien connus comme Google et Microsoft ou même des plateformes spécialisées dans le domaine d’activité de la victime.