Selon un rapport de FireEye, le groupe baptisé APT33 est impliqué depuis au moins 2013 dans des opérations de cyberespionnage. Il serait lié au gouvernement iranien avec des cibles œuvrant dans les secteurs de l'aérospatiale et la pétrochimie aux États-Unis, en Arabie Saoudite et en Corée du Sud.
APT33 a envoyé des emails de phishing ciblé à des employés. Ils contenaient des liens vers des fichiers HTML malveillants (des fichiers .hta) faisant référence à des offres d'emploi en fonction des profils des destinataires. Ces fichiers intégraient un code pour le téléchargement automatique d'une backdoor .
Les liens utilisaient des noms de domaine faisant faussement référence à des entreprises comme Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia et Vinnell Arabia. Des victimes ayant cliqué ont rapatrié un malware dénommé DropShot.
Le groupe APT33 semble avoir commis plusieurs erreurs. Notamment, le nom d'utilisateur " xman_1365_x " a été laissé par inadvertance dans des chemins de processus de débogage d'échantillons de la backdoor. En pistant ce pseudonyme en ligne, un lien a été établi avec un Iranien.
À cela s'ajoute des références à la langue majoritaire en Iran (le farsi) dans du code malveillant, et l'indice " habituel " des heures d'activité pour mener des opérations. Pour le groupe APT33, elles correspondent essentiellement aux " heures de bureau " en Iran. Soulignons cependant que l'attribution des cyberattaques demeure un exercice délicat.
L'Iran a développé ses compétences cyber après avoir été la victime du ver informatique Stuxnet pour le sabotage de son programme nucléaire décrié (une attaque de centrifugeuses d'enrichissement d'uranium). Stuxnet aurait été conçu par la NSA, en collaboration avec une unité de renseignement israélienne.
