Lié au ministère du Renseignement et de la Sécurité iranien, le groupe Cavern Manticore a été identifié par des chercheurs en cybersécurité de Check Point Research. Actif depuis début 2026, il s’attaque principalement aux secteurs gouvernementaux et aux fournisseurs de services informatiques en Israël.
La particularité de ce groupe réside dans son utilisation d’un framework de commande et contrôle (C2) modulaire jusqu’alors inconnu. Cavern démontre une grande maturité technique, notamment par son architecture conçue pour déjouer les analyses de sécurité.
Comment le framework Cavern parvient-il à rester si furtif ?
Le framework Caver est entièrement basé sur la technologie .NET, mais ses différents composants sont délibérément compilés en trois formats distincts : .NET Framework, .NET Mixed-Mode C++/CLI et .NET Native AOT.
Check Point Research explique que le format de compilation inhabituel devient une couche d’anti-analyse qui force le recours à de multiples outils et workflows de reconstruction des métadonnées pour la rétro-ingénierie.
En plus de cette complexité de compilation, le framework s’appuie sur une technique d’isolation par AppDomain pour chaque module. Ce mécanisme permet de charger un module pour exécuter une tâche spécifique, puis de le décharger complètement de la mémoire, ne laissant quasiment aucune trace pour les analystes forensiques.
L’architecture modulaire permet aux opérateurs de n’installer que les outils strictement nécessaires sur une machine compromise, ce qui réduit leur empreinte et les risques de détection.
Quelle est la chaîne d’attaque de Cavern Manticore ?
Les intrusions observées commencent souvent par l’exploitation de logiciels de surveillance et de gestion à distance déjà présents dans l’organisation ciblée.
En abusant de ces outils légitimes, les attaquants peuvent se déplacer latéralement et déployer leurs malwares sous l’apparence de mises à jour. Une autre porte d’entrée implique l’exploitation d’une fonctionnalité de mise à jour du logiciel SysAid.
Cette action déclenche une chaîne d’attaque par DLL side-loading, où une bibliothèque charge une DLL piégée (uxtheme.dll) contenant l’agent principal de Cavern. L’agent contacte ensuite le serveur de commande et contrôle pour télécharger des modules post-exploitation supplémentaires.
Parmi ces derniers, un gestionnaire de fichiers, un explorateur de bases de données SQL, un outil de reconnaissance Active Directory, un proxy SOCKS5 pour le tunneling de trafic.
Des liens avec d’autres groupes iraniens
L’analyse de Check Point Research établit des liens entre Cavern Manticore et d’autres groupes affiliés à l’Iran. Des similitudes tactiques ont été notées avec MuddyWater ainsi que Lyceum, un sous-groupe d’OilRig.
L’attribution est renforcée par l’analyse du nom de domaine principal de commande et contrôle utilisé dans la campagne (hospitalinstallation[.]com), qui a été enregistré via Fars Data, un hébergeur iranien.