En bref

  • L'APT iranien Screening Serpens a déployé six nouvelles variantes de trojans d'accès à distance entre février et avril 2026, regroupées en deux familles inédites : MiniUpdate et MiniJunk V2.
  • Les cibles visées appartiennent au secteur technologique aux États-Unis, en Israël et aux Émirats arabes unis, dans un contexte de conflit régional au Moyen-Orient déclenché fin février 2026.
  • La campagne mobilise une technique avancée d'AppDomainManager hijacking pour neutraliser les contrôles de sécurité des applications .NET avant leur démarrage complet.

Une campagne d'espionnage synchronisée avec l'escalade militaire régionale

Les chercheurs de l'Unit 42 de Palo Alto Networks ont publié fin mai 2026 un rapport de référence sur les activités récentes de Screening Serpens, un groupe APT aligné sur les objectifs du renseignement iranien. Entre le 1er février et le 30 avril 2026, l'équipe a identifié et documenté six nouvelles variantes de chevaux de Troie d'accès à distance jamais observées auparavant dans les campagnes de ce groupe. Ces variantes ont été regroupées en deux familles distinctes baptisées MiniUpdate et MiniJunk V2, qui succèdent à une première génération de malwares documentés lors d'opérations précédentes. The Hacker News, qui a également relayé ces travaux, souligne l'ampleur inédite de cette vague de déploiements.

La synchronisation de ces opérations avec le conflit régional déclaré le 28 février 2026 au Moyen-Orient n'est pas fortuite. Dès les premières semaines du conflit, Screening Serpens a maintenu, selon les chercheurs de l'Unit 42, un tempo opérationnel exceptionnellement élevé tout au long des mois de mars et d'avril. Cette corrélation temporelle directe indique que le groupe ajuste sa cadence opérationnelle aux événements géopolitiques pour intensifier la collecte de renseignements sur les acteurs susceptibles d'influencer le conflit ou d'en être les bénéficiaires stratégiques.

Les cibles identifiées opèrent principalement dans le secteur technologique aux États-Unis, en Israël et aux Émirats arabes unis — trois pays dont les postures stratégiques sont directement impliquées dans le conflit ou dans les équilibres de sécurité régionaux. Deux entités supplémentaires situées dans d'autres pays du Moyen-Orient ont également été compromises, bien que leurs identités n'aient pas été divulguées. La sélection délibérée de ces cibles reflète une stratégie de collecte de renseignements axée sur les technologies militaires, les infrastructures critiques et les chaînes d'approvisionnement stratégiques.

Sur le plan technique, l'évolution la plus significative de cette campagne réside dans l'adoption systématique de la technique dite AppDomainManager hijacking. Cette méthode exploite le mécanisme d'initialisation du runtime .NET : en manipulant un fichier de configuration légitime avant que l'application ne démarre entièrement, les attaquants parviennent à désactiver les mécanismes de sécurité intégrés, notamment les contrôles d'intégrité du code signé et les politiques de chargement des assemblies. Le résultat est un vecteur d'exécution particulièrement furtif, difficile à détecter par les solutions EDR conventionnelles qui se concentrent sur les comportements post-exécution plutôt que sur la phase d'initialisation des processus.

Les deux nouvelles familles présentent des architectures techniques distinctes et complémentaires. MiniUpdate est conçu comme un stager léger : il établit une communication chiffrée avec l'infrastructure C2 du groupe, récupère des modules supplémentaires selon les besoins de l'opérateur, et assure la persistance sur les systèmes compromis via des mécanismes de registre et de tâches planifiées. MiniJunk V2 représente une version sensiblement améliorée de son prédécesseur, avec de nouvelles capacités d'exfiltration de fichiers ciblés, de capture d'écran programmable et d'enregistrement des frappes clavier. Les deux variantes intègrent des mécanismes anti-analyse avancés incluant des vérifications de l'environnement d'exécution pour détecter les sandbox et les débogueurs courants.

Les vecteurs d'infection documentés par Unit 42 combinent spear-phishing hautement ciblé et empoisonnement SEO. Pour le spear-phishing, le groupe Screening Serpens construit des leurres spécifiquement adaptés aux professionnels du secteur technologique en recherche d'emploi : de fausses offres de postes attractifs dans des entreprises réputées, accompagnées de documents malveillants déguisés en descriptions de poste ou en formulaires de candidature. The Hacker News précise que MiniJunk V2 et la variante connexe MiniFast ont également été diffusés via des techniques d'empoisonnement SEO, poussant des pages malveillantes en tête des résultats de recherche pour des requêtes ciblées dans les secteurs visés.

La qualité de l'ingénierie sociale déployée témoigne d'une phase de reconnaissance préalable approfondie, vraisemblablement conduite via les réseaux sociaux professionnels comme LinkedIn. Les chercheurs indiquent que les leurres utilisés sont hautement personnalisés — adaptés au profil spécifique de chaque cible — ce qui implique un investissement en ressources humaines et analytiques caractéristique des groupes APT bénéficiant du soutien d'un État. Les victimes rapportent avoir reçu des offres d'emploi crédibles, avec des descriptions de poste cohérentes avec leurs parcours, accompagnées de pièces jointes présentées comme des documents RH standards.

L'infrastructure de commande et contrôle (C2) de Screening Serpens démontre une résilience accrue par rapport aux campagnes précédentes. Le groupe utilise une architecture distribuée s'appuyant sur des domaines enregistrés de longue date pour se fondre dans le trafic légitime, ainsi que des services cloud publics détournés pour la transmission de données exfiltrées — une technique qui complique considérablement la distinction entre trafic malveillant et trafic légitime dans les outils de surveillance réseau. Ces choix architecturaux ralentissent le démantèlement de l'infrastructure par les équipes de réponse aux incidents et les autorités.

Un APT qui capitalise sur l'instabilité géopolitique pour intensifier l'espionnage

Screening Serpens s'inscrit dans un écosystème d'acteurs cyber iraniens bien documenté, aux côtés de groupes comme APT33, APT34 (OilRig) ou Charming Kitten. Ce qui distingue ce groupe, c'est sa spécialisation dans le ciblage du secteur technologique privé, par opposition aux groupes iraniens davantage orientés vers les infrastructures critiques énergétiques ou gouvernementales. Cette spécialisation reflète une stratégie de long terme : compromettre les chaînes d'approvisionnement technologiques et exfiltrer de la propriété intellectuelle dans des secteurs jugés stratégiques pour l'économie de défense des adversaires de l'Iran.

Le recours à l'AppDomainManager hijacking illustre une tendance de fond dans l'évolution des TTPs des APT : le déplacement progressif vers des techniques de type « living off the land » améliorées, exploitant des fonctionnalités légitimes des systèmes d'exploitation et des runtimes de développement pour exécuter des charges malveillantes sans déposer d'exécutables suspects sur le disque. Cette évolution contourne efficacement les solutions basées sur les signatures et complique la détection comportementale, forçant les équipes sécurité à adopter des approches de détection plus sophistiquées basées sur l'analyse des flux d'initialisation des processus.

Pour les équipes de sécurité des entreprises opérant dans les secteurs de la défense, de l'aérospatiale, de la cybersécurité et de l'énergie — secteurs prioritairement ciblés par Screening Serpens — la menace exige une révision des contrôles liés aux applications .NET et aux mécanismes de chargement des assemblies. Les indicateurs de compromission publiés par Unit 42 dans leur rapport doivent être intégrés sans délai dans les outils SIEM, EDR et les flux de threat intelligence pour détecter les activités de MiniUpdate et MiniJunk V2. Une attention particulière doit être portée à la surveillance des communications réseau émanant d'applications .NET légitimes, vecteur désormais privilégié par ce groupe.

La dimension géopolitique de cette campagne confirme une réalité que les équipes sécurité doivent intégrer dans leur modèle de menace : les conflits conventionnels s'accompagnent systématiquement d'une intensification des opérations cyber offensives. Les entreprises dont les activités s'inscrivent dans des secteurs d'intérêt stratégique pour des États en conflit — qu'elles soient directement concernées géographiquement ou non — doivent renforcer en priorité leur surveillance des vecteurs de spear-phishing ciblant leurs collaborateurs via les plateformes de recrutement et les réseaux sociaux professionnels.

Ce qu'il faut retenir

  • Screening Serpens a déployé 6 nouveaux RAT répartis en deux familles inédites (MiniUpdate, MiniJunk V2) depuis le déclenchement du conflit régional au Moyen-Orient fin février 2026.
  • La technique AppDomainManager hijacking permet de contourner les sécurités .NET en phase d'initialisation, avant toute exécution d'EDR traditionnel — une évolution TTPs majeure à intégrer dans les playbooks de détection.
  • Intégrer les IoC publiés par Unit 42 dans vos outils SIEM/EDR, renforcer la formation anti-phishing ciblant les fausses offres d'emploi, et surveiller les communications .NET anormales dans vos flux réseau.

Comment Screening Serpens utilise-t-il les fausses offres d'emploi pour infecter ses cibles ?

Le groupe crée de fausses offres d'emploi ciblant des professionnels tech, usurpant l'identité de vraies entreprises. Les candidats sont invités à télécharger un document (description de poste, formulaire de candidature) qui déclenche l'infection via AppDomainManager hijacking lors de son ouverture. La reconnaissance préalable sur LinkedIn permet de personnaliser les leurres pour les rendre très crédibles et difficiles à distinguer de communications RH légitimes.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact