SOC Prime Bias: Critique

25 Mar 2026 16:16 UTC

Conflit Iranien Entraîne une Hausse de l’Activité d’Espionnage sur les Cibles du Moyen-Orient

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Conflit Iranien Entraîne une Hausse de l’Activité d’Espionnage sur les Cibles du Moyen-Orient
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Proofpoint a signalé une augmentation des activités d’espionnage et de phishing liées à des acteurs de la menace alignés sur l’Iran, la Chine, le Pakistan, la Biélorussie et d’autres états après les frappes de février 2026 en Iran. Les adversaires ont utilisé des appâts thématiques sur le conflit pour cibler les ministères, les organisations diplomatiques et les groupes de réflexion au Moyen-Orient et aux États-Unis. Ces opérations reposaient sur le phishing d’identifiants, les fichiers LNK malveillants, le chargement de DLL et des charges Cobalt Strike livrées via des comptes de messagerie compromis et une infrastructure hébergée dans le cloud. Les efforts de détection devraient prioriser les raccourcis Office malveillants, les pages de connexion OneDrive factices et l’utilisation suspecte de chargeurs de logiciels malveillants connus.

Enquête

Proofpoint a suivi six campagnes distinctes — UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473 et TA453 — qui utilisaient la compromission par e-mail, les archives armées et les liens malveillants pour livrer des chargeurs qui lançaient finalement Cobalt Strike. Les chercheurs ont catalogué des indicateurs comprenant des adresses e-mail, des domaines, des URL, des noms de fichiers et des hachages de fichiers. Dans la mesure du possible, le rapport a également cartographié l’infrastructure observée aux rapports publics déjà documentés.

Atténuation

Les organisations devraient exiger une authentification multi-facteurs pour les plateformes de messagerie et cloud, bloquer les domaines et URL malveillants connus, et surveiller l’exécution de LNK et l’activité de chargement de DLL inattendue. Les contrôles de sécurité des e-mails doivent inspecter les pièces jointes pour la livraison basée sur LNK et archive, tandis que la chasse aux menaces doit mettre l’accent sur le comportement de balisage Cobalt Strike et l’exécution inhabituelle de PowerShell.

Réponse

Si un LNK suspect, une archive malveillante ou un balisage Cobalt Strike est identifié, isolez l’hôte, collectez des preuves volatiles et commencez immédiatement la réponse aux incidents. Bloquez les domaines de commande et de contrôle et les adresses IP associés, réinitialisez les comptes compromis et effectuez une enquête médico-légale complète pour identifier tout mécanisme de persistance.

Flux d’attaque

Détections

Binaire ou scripts suspects dans la localisation de démarrage automatique (via file_event)

Équipe SOC Prime
25 mars 2026

Fichiers suspects dans le profil utilisateur public (via file_event)

Équipe SOC Prime
25 mars 2026

Infiltration/exfiltration de données possible/C2 via des services ou outils tiers (via dns)

Équipe SOC Prime
25 mars 2026

Fichiers extraits suspects d’une archive (via file_event)

Équipe SOC Prime
25 mars 2026

Tentative possible de chargement latéral de DLL de NvdaHelperRemote (via image_load)

Équipe SOC Prime
17 mars 2026

Utilisation suspecte de CURL (via cmdline)

Équipe SOC Prime
25 mars 2026

Infiltration/exfiltration de données possible/C2 via des services ou outils tiers (via proxy)

Équipe SOC Prime
25 mars 2026

Domaine Google Docs possible en cours de résolution par un processus inhabituel (via dns_query)

Équipe SOC Prime
25 mars 2026

Un fichier de disque dur virtuel a été créé (via file_event)

Équipe SOC Prime
25 mars 2026

IOCs (HashSha256) pour détecter : le conflit en Iran entraîne une activité d’espionnage accrue contre les cibles du Moyen-Orient

Règles IA de SOC Prime
17 mars 2026

IOCs (SourceIP) pour détecter : le conflit en Iran entraîne une activité d’espionnage accrue contre les cibles du Moyen-Orient

Règles IA de SOC Prime
17 mars 2026

IOCs (DestinationIP) pour détecter : le conflit en Iran entraîne une activité d’espionnage accrue contre les cibles du Moyen-Orient

Règles IA de SOC Prime
17 mars 2026

Détection de l’exécution suspecte de nvdaHelperRemoteLoader.exe et VLCMediaPlayer.exe [Création de Processus Windows]

Règles IA de SOC Prime
17 mars 2026

Détection des domaines C&C associés aux campagnes UNK_InnerAmbush et UNK_RobotDreams [Connexion Réseau Windows]

Règles IA de SOC Prime
17 mars 2026

Exécution de Simulation

Prérequis : Le contrôle préalable de la télémétrie et du point de référence doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.

  • Narratif et Commandes d’Attaque :
    Un adversaire a obtenu une copie compromise de nvdaHelperRemoteLoader.exe intégré avec une DLL malveillante (evil.dll). Ils placent le binaire dans C:Temp et créent un raccourci qui pointe vers lui, déclenchant l’exécution via une tâche planifiée (T1546.009). Simultanément, ils abusent du binaire signé VLCMediaPlayer.exe (T1218) pour lancer une charge utile PowerShell qui effectue un fingerprinting de l’hôte. Les deux binaires sont lancés directement pour s’assurer que l’événement de création de processus contient exactement le nom exécutable requis par la règle.

  • Script de Test de Régression :

    # -------------------------------------------------
    # Script de simulation – déclenche les deux détections
    # -------------------------------------------------
    # Définir le dossier d'exécution
    $binPath = "C:Temp"
    
    # 1. Déployer nvdaHelperRemoteLoader.exe malveillant (copie de remplacement)
    $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe"   # <-- remplacer par un échantillon réel
    Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force
    
    # 2. Déployer VLCMediaPlayer.exe malveillant (copie de remplacement)
    $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe"           # <-- remplacer par un échantillon réel
    Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force
    
    # 3. Exécuter nvdaHelperRemoteLoader.exe (simulation de chargement latéral de DLL)
    Write-Host "Lancement de nvdaHelperRemoteLoader.exe ..."
    Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden
    
    # 4. Exécuter VLCMediaPlayer.exe pour exécuter une ligne PowerShell de fingerprinting
    $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version"
    Write-Host "Lancement de VLCMediaPlayer.exe avec une charge utile PowerShell ..."
    Start-Process -FilePath "$binPathVLCMediaPlayer.exe" `
        -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" `
        -WindowStyle Hidden
    
    Write-Host "Simulation terminée. Vérifiez les alertes dans votre SIEM."
  • Commandes de Nettoyage :

    # Arrêter tous les processus de test en attente
    Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue |
        Stop-Process -Force
    
    # Supprimer les binaires de test
    Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "Nettoyage terminé."