Fuite de données :
les opérations de « Charming Kitten » révélées

Une fuite majeure dévoile les coulisses du groupe iranien Charming Kitten (APT35) : son organisation interne, ses campagnes ciblées au Moyen-Orient et ses techniques d’exploitation. Un aperçu inédit des opérations de cyber-espionnage menées par l’appareil offensif iranien.

Introduction

Au fil des années, le groupe « Charming Kitten » (alias APT35, Phosphorus, Mint Sandstorm) s’est imposé comme un des acteurs incontournables de l’appareil cyber offensif iranienne. Affilié à l’IRGC (Corps des Gardiens de la Révolution islamique), il a longtemps été considéré comme une unité de renseignement numérique, focalisée sur l’espionnage et les opérations d’influence, plutôt que sur les attaques destructrices.

 

A ses débuts, le groupe combine phishing sophistiqué, ingénierie sociale et exploitation de vulnérabilités logicielles dans le cadre d’opérations de longue durée pour infiltrer des cibles gouvernementales, académiques, médiatiques, diplomatiques et civiles. Au fil des années, ses méthodes se sont raffinées, dès lors l’usage de fausses identités (journalistes, universitaires, ONG), la création de sites-miroirs, et le recours à du matériel sur mesure (malwares, RATs, outils sur-mesure) occupe une place à part entière dans son arsenal.

 

Jusqu’à récemment, la structure interne exacte du groupe (répartition des équipes, organigramme, cycles de mission, contraintes bureaucratiques) demeurait opaque. Le 30 septembre 2025 marque un tournant dans cette dynamique. En effet, une vaste fuite de documents internes à la cellule a émergé sur une plateforme publique révélant pour la première fois des informations du cœur du fonctionnement de Charming Kitten. Ces éléments montrent que le groupe ne se limite plus à des opérations furtives, mais opère dans un cadre défini avec une organisation claire et défini.

 

Au-delà de l’organisation, la fuite de ces données à permis de mettre au jour des campagnes de cyber attaques au Moyen-Orient. En effet, des pays comme l’Afghanistan, Israël, la Jordanie, l’Arabie saoudite, la Turquie ou encore les Émirats Arabes Unis figurent parmi la liste des victimes de cette unité.

 

L’analyse de ces documents internes offre donc une perspective inédite sur les décisions, priorités, contraintes internes, et chaînes de commandement, éclairant ainsi la structuration réelle des cyber-opérations iraniennes dans la région, un jalon majeur pour mieux comprendre les menaces à venir.

Les données récupérées

Les informations obtenues se composent de plusieurs éléments distincts :

Guides pratiques et tutoriels d’attaque : 

  • Un manuel détaillé sur le phishing et la récupération d’identifiants.
  • Un guide sur l’exploitation de CVE, en particulier les vulnérabilités concernant PHP-CGI, ConnectWise et Ivanti.
  • Des documentations sur la post-exploitation et le maintien de l’accès dans les systèmes d’information.

 

Informations sur la gestion des campagnes et documents internes : 

  • Des détails sur les opérations menées par les employés, leurs cibles, ainsi que leurs fiches de pointage.
  • Des fiches synthétiques sur les campagnes en cours, des plans d’évolution et d’autres documents internes relatifs à l’avancement des « projets ».

 

Données techniques : 

  • L’ensemble des éléments techniques nécessaires au bon déroulement des opérations : plans de réseau, listes de cibles et rapports de scans de vulnérabilités. En somme, tous les composants de planification d’une attaque et les essentiels pour réaliser des actions malicieuses à grande échelle.

 

Données d’exfiltration : 

  • Un certain nombre de bases de données et d’identifiants compromis.
  • Des documents, comme une compilation d’e-mails du ministère afghan des Affaires tribales et des Frontières.
  • Des informations sur des juges et avocats saoudiens.

 

Listes de cibles : 

  • Une portion significative des documents est constituée de la liste des infrastructures ciblées et des informations collectées sur ces dernières.

Décryptage organisationnel

Toutes ces données permettent une compréhension approfondie du groupe. Quatre grands pôles se distinguent au sein de cette organisation :

  • Le commandement des opérations : son rôle est de définir les objectifs de haut niveau, d’assigner les campagnes et les cibles aux chefs d’équipe, de prétraiter les rapports et de gérer les budgets.
  • Les chefs de projet/chefs d’équipe : au nombre de deux, ils gèrent principalement la partie reporting. L’un est responsable de l’offensive contre la Jordanie et de l’exploitation de ConnectWise à grande échelle. L’autre supervise les campagnes d’OSINT (renseignement de sources ouvertes) permettant d’obtenir les accès préliminaires sur les systèmes, ainsi que la campagne contre Israël.
  • Les opérateurs spécialisés : chaque opérateur possède un rôle relativement spécifique.
    1. > Le premier se consacre aux attaques contre l’État hébreu, réalisant principalement des scans de masse.
    2. > Le deuxième, expert en recherche de vulnérabilités, se focalise sur l’identification de CVE sur les services exposés tels que GitLab, WordPress ou Confluence.
    3. > Le troisième a pour spécialité de créer et de maintenir les outils nécessaires à la conduite des opérations.
    4. > Le quatrième et dernier opérateur est spécialisé dans les campagnes d’influence sur les réseaux sociaux et la gestion de la logistique indispensable au bon déroulement des missions.
  • Les opérateurs génériques : ils effectuent toutes les tâches demandant peu de compétences techniques et exécutent les basses besognes des managers et des spécialistes.

 

 

Sur la base de ces informations, nous avons pu reconstituer un flux de travail potentiel :

  • Le commandement assigne un projet de campagne d’attaque ;
  • Le chef de projet désigne les opérateurs ;
  • Les opérateurs recherchent des infrastructures exploitables, des moyens de persistance sur les machines et développent leurs capacités d’évasion des systèmes de détection en place ;
  • Un autre opérateur réalise l’intrusion, et le chef d’équipe rend compte au management de la suite des opérations.

Les types d’attaques menées

La multiplicité des attaques du groupe, référencées dans les documents, rend l’élaboration d’un profil de cible complexe. Malgré cela, les analystes de la Purple Team Gatewatcher ont identifié deux grandes catégories d’attaques menées par ce groupe :

Les campagnes visant des pays et leurs institutions 

Ce type d’opération s’inscrit dans une volonté de collecte d’informations à long terme contre des cibles stratégiques pour l’Iran. Il s’agit, pour la plupart, d’offensives combinant le cyber et la lutte d’influence.

  • Opération shattered mirror (cible : Israël, 2023-2024) : Cette offensive s’apparente à la préparation d’une opération de lutte d’influence. En effet, en obtenant des accès sur des points névralgiques tels que des modems ou des routeurs largement utilisés, les attaquants peuvent observer l’utilisation des réseaux par le grand public afin de mener des opérations de surveillance de masse. En parallèle, les sites commerciaux sont également touchés ; ils représentent un point d’intérêt pour la récupération de données, notamment de nombreux identifiants, dans un but similaire. Enfin, une identification des opposants politiques au régime israélien est également effectuée en vue de mener des campagnes de phishing. Cette dernière action vise particulièrement les participants à une conférence nommée « Israel, a shattered mirror ». Il est possible que cet événement ait été créé de toutes pièces par les services iraniens pour regrouper des opposants politiques, car il n’existe aucun autre indicateur de sa tenue. L’opération de spear phishing visait à créer de fausses « cartes d’entrée » pour les participants. Le but de cette partie de l’opération pourrait être de transformer ces opposants en informateurs à leur insu.

 

  • Opération desert breach (cible : Jordanie, 2024- nos jours) : Elle se caractérise par la compromission du ministère de la Justice, d’académies universitaires et de professionnels du droit comme des cabinets d’avocats. La majeure partie de cette campagne repose sur l’exploitation d’une CVE de 2012, CVE-2012-1823. Cette vulnérabilité permet l’exécution de code à distance sur des applications utilisant PHP-CGI. En plus de cette exploitation, une persistance est établie via des webshells. L’opération a été un succès pour APT35, puisque plus de 74 Go de données ont été exfiltrées et une cartographie complète des systèmes des cabinets d’avocats a été réalisée.

 

  • Opération afghan infiltration (cible : Afghanistan, 2021) : Elle cible spécifiquement les systèmes de télécommunications et les organes gouvernementaux afghans. Les cibles étatiques sont le ministère des Affaires tribales et des Frontières et le ministère des Réfugiés et du Rapatriement. Ces deux ministères constituent un pivot important en matière de renseignement, car ils permettent d’identifier les entrées et les sorties des ressortissants. Combinée à la compromission des services de télécommunication afghans, cette opération a permis l’exfiltration d’e-mails et de comptes internes, assurant une surveillance et un maintien dans les systèmes sur le long terme.

 

Les campagnes opportunistes, opération Swiftstrike

En plus de ces campagnes ciblées, d’autres opérations purement opportunistes sont menées par cette cellule en 2024. Lors de l’identification des vulnérabilités sur les produits ConnectWise et Ivanti, une campagne a été lancée contre la Turquie, l’Arabie Saoudite, la Jordanie et les Émirats. Durant cette offensive, qui semble présenter un grand intérêt pour Charming Kitten, les reconnaissances ont été effectuées via des outils de scans massifs open-source et parfois en ligne, comme Shodan ou Censys.

 

Synthèse des vulnérabilités et méthodes d’exploitation

Vulnérabilité et Cible  Cadre d’Utilisation (Objectif)  Outil / Méthode Concerné 
CVE-2024-1709 & 1708 ConnectWise ScreenConnect  Accès initial opportuniste à grande échelle  Utilisation d’outils OSINT (Shodan, Fofa) pour la découverte. La méthode consistait à naviguer vers l’URL /SetupWizard.aspx pour créer un nouvel utilisateur administrateur sans authentification. Il aura fallu 2 jours entre la publication de la vulnérabilité et l’exploitation par le groupe. 
CVE-2024-21893 & 21887 Chaîne d’exploitation Ivanti Connect Secure (SSRF vers RCE) Cible : infrastructure israélienne  Campagne ciblée pour obtenir une exécution de code à distance (RCE) non authentifiée sur des équipements VPN.  Envoi d’une requête XML malveillante au point de terminaison /dana-ws/saml20.ws. L’exploitation de la faille SSRF permettait d’exécuter une charge utile Python pour créer un reverse shell. 
CVE-2012-1823
PHP-CGI – Exécution de code à distance
cible : Portail RH d’une université jordanienne 		 Vecteur d’accès initial pour la compromission profonde de l’université. La faille était efficace, car la cible utilisait une version très ancienne de PHP (5.3.1).  Utilisation d’un script d’exploitation public (php_cgi.sh) pour injecter et exécuter des commandes système comme whoami. 
CVE-2017-11317 & 2019-18935
Telerik UI pour ASP.NET – Désérialisation non sécurisée
Cible : ministère de la Justice jordanien 		 Méthode principale pour tenter d’obtenir une exécution de code à distance.  Tentative d’exploitation de la faille de désérialisation pour téléverser des fichiers. La charge utile malveillante (DLL) était bloquée par un produit de sécurité (AV/Defender), mais le téléversement d’un simple fichier .txt a validé la vulnérabilité. 
CVE-2023-22527
Atlassian Confluence – RCE 		 Découverte de vulnérabilités à grande échelle pour trouver et exploiter des serveurs Confluence vulnérables afin d’obtenir un accès initial.  Utilisation de l’outil Nuclei avec des modèles (templates) spécifiques à Confluence. 
CVE-2023-7028 & 2021-22205
GitLab – Prise de contrôle de compte et RCE 		 Compromission de masse de serveurs GitLab pour prendre le contrôle de comptes et obtenir une exécution de code à distance.  Utilisation de preuves de concept (PoC) et d’exploits publics trouvés sur des dépôts GitHub. 
CVE-2011-4646
Plugin WordPress wp-postrating – Injection SQL
Cible : Site web israélien (sefrou.co.il) 		 Découverte opportuniste lors de la surveillance de sites israéliens. L’objectif était probablement l’exfiltration de données de la base de données du site.  Recherche manuelle d’une preuve de concept (PoC) pour cette CVE spécifique, indiquant une tentative d’exploitation ciblée. 
CVE-2024-23897
Jenkins – Lecture de Fichiers Arbitraires (LFI) 		 Trouver des serveurs Jenkins vulnérables pour extraire des informations sensibles (identifiants, etc.).  Utilisation de l’outil Nuclei pour la détection, suivie de l’exécution d’un script d’exploitation. 

 

 

Comment se prémunir de ces attaques en utilisant le NDR ?

Dans le tableau récapitulatif précédent, il est aisé de remarquerOn observe clairement que toutes ces attaques utilisent le réseau et sont donc identifiables via la mise en place de sondes NDR (Network Detection and Response). L’utilisation combinée de moteurs de détection permet de mettre en place une défense en profondeur, capable de stopper l’attaquant dès la phase de reconnaissance. Les attaquants qui s’appuient principalement sur des scans massifs pour leurs phases de reconnaissance sont facilement détectables par les systèmes NDR car ces activités génèrent des signaux réseau. Cette détection précoce permet ainsi une réaction rapide et le blocage anticipé de la menace. Dans le cas où ces scans passeraient par des tiers, les tentatives d’exploitation des services seraient elles aussi identifiées. L’attaquant serait alors stoppé aux prémices de son attaque, là où un EDR (Endpoint Detection and Response) ne pourrait détecter l’intrusion qu’une fois sur le poste. Pour être plus précis, la détection des outils Gatewatcher permet, grâce à la combinaison des moteurs, de couvrir les menaces décrites dans cet article.

En analysant le trafic interne et externe en continu, le NDR identifie les comportements anormaux, ce qui permet de repérer et de stopper les attaquants avant qu’ils n’atteignent leurs objectifs.

Conclusion

Cette fuite de données est riche d’enseignements sur les méthodes employées par APT35. Au-delà d’attaques peu sophistiquées, ces documents nous permettent de mieux cerner les objectifs des attaquants tout en dévoilant leurs modes opératoires. Grâce à l’évaluation des TTPs (Tactiques, Techniques et Procédures), nous sommes en mesure de construire une défense en profondeur efficace et adaptée à la menace. De telles fuites de documents, avec un niveau de détail aussi important, sont rares et précieuses ; il convient donc de les étudier et de les comprendre afin de bloquer les cyberattaques de façon durable.

Annexes

Annexe 1: Mitre Att&ck charming kitten en fonction des documents fuités

Matrice MITRE ATT&CK® pour l’Unité Opérationnelle de Charming Kitten

Ce tableau détaille les comportements de l’adversaire observés dans les renseignements fournis, mappés aux tactiques et techniques ATT&CK correspondantes.

 

Tactique MITRE ATT&CK  Technique (ID)  Activité Observée & Éléments de Preuve (Basés sur les documents divulgués) 
Reconnaissance  Collecte d’informations sur l’hôte de la victime (T1592)  – Collecte de détails techniques sur les serveurs web cibles, incluant Microsoft IIS 8.5, ASP.NET, PHP 5.3.1, et des composants spécifiques comme Telerik Web UI. 
  Recherche sur les sites web/domaines ouverts (T1593)  – Utilisation de moteurs de recherche comme Google pour identifier des sous-domaines, des informations sur les employés, et des documents publiquement exposés (.pdf, .xml) liés aux organisations cibles. 
  Scan Actif (T1595)  Scan de Blocs IP (T1595.001) : Réalisation de scans de masse sur des plages d’adresses IP en Israël, Jordanie, et d’autres pays pour identifier l’infrastructure.
Scan de Vulnérabilités (T1595.002) : Utilisation d’outils comme Nuclei et Acunetix pour sonder activement les actifs découverts à la recherche de vulnérabilités connues. 
Développement de ressources  Acquisition d’infrastructure (T1583)  Domaines (T1583.001) : Achat de noms de domaine pour les campagnes de phishing et l’infrastructure de C2.
Services Web (T1583.004) : Mise en place et gestion de serveurs (IP : 185.141.63.55) pour héberger les panneaux de contrôle du phishing et les données exfiltrées. 
  Développement de capacités (T1587)  Exploits (T1587.002) : Utilisation et modification de codes d’exploitation publiquement disponibles sur GitHub pour des vulnérabilités comme la CVE-2024-21887.
Services Web (T1587.004) : Développement de frameworks de phishing personnalisés (détaillés dans un document comme « نحوه کار سامانه فیشینگ.pdf ») pour automatiser le vol d’identifiants et de cookies. 
Accès initial  Exploitation d’application exposée sur Internet (T1190)  Injection SQL : Utilisation systématique de sqlmap et de requêtes manuelles contre des cibles comme simania.co.il et le portail de récompenses de Roshan.
RCE via une vulnérabilité connue : Exploitation réussie de la CVE-2012-1823 (PHP-CGI) contre hr.wise.edu.jo pour obtenir une exécution de code à distance.
Vulnérabilité de composant : Exploitation de vulnérabilités dans des plugins WordPress (wp-postrating) et dans Telerik Web UI sur diverses cibles. 
  Phishing (T1566)  Lien de spearphishing (T1566.002) : Création et envoi de liens de phishing pointant vers des pages de collecte d’identifiants, comme la fausse page de connexion Gmail. La campagne « Israël, un miroir brisé » utilisait des QR codes personnalisés. 
Exécution  Interpréteur de commandes et de scripts (T1059)  Shell Unix (T1059.004) : Exécution de commandes shell comme whoami, id, et ls sur des systèmes Linux/Unix compromis via des web shells et RCE.
Invite de commandes Windows (T1059.003) : Exécution de commandes comme ipconfig, tasklist, et dir sur des systèmes Windows compromis via l’accès à distance ConnectWise. 
Persistance  Comptes valides (T1078)  – Utilisation d’identifiants volés lors de campagnes de phishing et de vidages de bases de données pour maintenir l’accès aux comptes de messagerie et autres services. 
  Composant logiciel de serveur (T1505)  Web Shell (T1505.003) : Téléversement de multiples web shells et uploaders de fichiers (ex. src.php sur evaluation.wise.edu.jo) pour maintenir un accès persistant aux serveurs web compromis. 
Escalade de privilèges  (Aucune preuve directe d’une escalade de privilèges réussie sur un hôte, mais des vulnérabilités avec ce potentiel ont été ciblées)  – Ciblage de vulnérabilités comme la CVE-2023-29357 (Microsoft SharePoint), qui permet une escalade de privilèges. 
Évasion des défenses  Fichiers ou informations obfusqués (T1027)  – Planification d’utiliser des DLL et des RATs obfusqués pour échapper à la détection par les antivirus/Defender sur les serveurs du Ministère de la Justice jordanien. 
  Vol de cookie de session web (T1539)  – Utilisation systématique d’un module complémentaire Firefox personnalisé et d’une méthodologie détaillée pour voler et rejouer les cookies de session, contournant ainsi l’authentification multifacteur sur des services comme Gmail. 
  Neutralisation des défenses (T1562)  – Planification de désactiver ou de contourner des produits de sécurité comme Sophos, TrendMicro, et SentinelOne dans le cadre des activités post-exploitation. 
Accès aux informations d’identification  Force brute (T1110)  – Utilisation d’outils comme RouterScan et de scripts personnalisés avec des listes de mots de passe pour forcer l’accès aux identifiants de modems, routeurs et autres équipements réseau en Israël. 
Découverte  Découverte du propriétaire/utilisateur du système (T1033)  – Exécution de commandes whoami pour identifier le contexte utilisateur actuel sur les systèmes compromis. 
  Découverte des processus (T1057)  – Exécution de tasklist sur les hôtes Windows compromis pour énumérer les processus en cours. 
  Découverte de la configuration réseau du système (T1016)  – Exécution de ipconfig sur les hôtes Windows compromis pour collecter des informations sur les interfaces réseau. 
  Découverte de fichiers et de répertoires (T1083)  – Exécution de commandes dir et ls pour explorer les systèmes de fichiers des serveurs compromis. 
  Découverte des connexions réseau du système (T1049)  – Cartographie des connexions et de l’infrastructure du réseau interne, comme le montrent les schémas détaillés pour iblaw et Qistas. 
Collecte  Données issues de dépôts d’informations (T1213)  Emails (T1213.003) : Exfiltration de 6 911 e-mails des ministères afghans.
Bases de données : Utilisation de Adminer et sqlmap pour vider des bases de données entières de wise.edu.jo et simania.co.il. 
Commande et Contrôle  Logiciel d’accès à distance (T1219)  – Utilisation de logiciels d’accès à distance légitimes comme SSH, VNC, et ConnectWise ScreenConnect pour interagir avec et contrôler les systèmes compromis. 
Exfiltration  Exfiltration via le canal de C2 (T1041)  – Exfiltration de grands volumes de données (ex. 4 Go de la base de données de wise.edu.jo, 74 Go de Qistas) via les canaux de C2 établis. 
Impact  Manipulation de données (T1565)  Manipulation de données stockées (T1565.001) : Tentative de modification des paramètres du serveur DNS sur plus de 580 routeurs en Israël pour rediriger le trafic des utilisateurs. 

 

Annexe 2: lexique Lexique

  • APT (Advanced Persistent Threat) : Désigne un groupe d’attaquants (souvent parrainé par un État) qui mène des cyberattaques complexes, furtives et à long terme contre une cible spécifique pour voler des informations, saboter des opérations ou espionner. APT35 est le nom donné au groupe « Charming Kitten ».
  • C2 (Commande et Contrôle) : Fait référence à l’infrastructure (serveurs, réseaux) utilisée par les attaquants pour communiquer avec les systèmes compromis, leur envoyer des instructions et en exfiltrer des données.
  • CVE (Common Vulnerabilities and Exposures) : Est un dictionnaire public qui répertorie les vulnérabilités de sécurité informatique connues. Chaque vulnérabilité reçoit un identifiant unique (ex : CVE-2012-1823) pour faciliter son suivi.
  • EDR (Endpoint Detection and Response) : Solution de sécurité qui surveille en continu les terminaux (ordinateurs, serveurs) pour détecter les menaces et y répondre rapidement.
  • Hameçonnage (Phishing) : Technique de fraude visant à obtenir des informations sensibles (identifiants, mots de passe, détails de cartes de crédit) en se faisant passer pour une entité de confiance dans un e-mail ou un autre moyen de communication électronique. Le spear phishing est une forme ciblée d’hameçonnage dirigée contre une personne ou une organisation spécifique.
  • Injection SQL : Type d’attaque qui consiste à insérer une portion de code SQL malveillant dans une requête pour manipuler une base de données et accéder à des informations confidentielles.
  • MITRE ATT&CK® : Base de connaissances accessible au public qui répertorie les tactiques et techniques des cyberattaquants, basée sur des observations du monde réel. Elle est utilisée pour modéliser les menaces et améliorer la défense.
  • NDR (Network Detection and Response) : Approche de sécurité qui analyse le trafic réseau pour détecter les comportements malveillants ou anormaux et y répondre.
  • OSINT (Open-Source Intelligence) : Renseignement issu de sources d’information accessibles au public (sites web, réseaux sociaux, publications) pour collecter des informations sur une cible.
  • Persistance : Technique utilisée par un attaquant pour maintenir son accès à un système compromis, même après un redémarrage ou une mise à jour.
  • RCE (Remote Code Execution / Exécution de code à distance) : Vulnérabilité qui permet à un attaquant d’exécuter des commandes de son choix sur une machine distante via un réseau.
  • Reverse Shell : Technique où la machine compromise initie une connexion sortante vers l’attaquant. Cela permet à ce dernier de prendre le contrôle de la machine, contournant souvent les pare-feux qui bloquent les connexions entrantes.
  • TTPs (Tactiques, Techniques et Procédures) : Décrit le comportement d’un acteur de la menace. Les tactiques représentent l’objectif de l’attaquant, les techniques la manière dont il atteint cet objectif, et les procédures les implémentations spécifiques de ces techniques.
  • Webshell : Script malveillant téléchargé sur un serveur web par un attaquant, lui permettant d’exécuter des commandes à distance sur ce serveur et de maintenir un accès.
Retrouvez nos autres contenus récents
Baromètre 2024
Baromètre mensuel
Veille écosystème
Cyber Threats Barometer – Septembre 2025
Les cyber-menaces du mois vues par les analystes CTI de Gatewatcher
Lire la suite
Gw Smartloader Purple Team Vignette Vfr
Rapport d’Analyse
Intelligence Artificielle & Machine Learning
Tactiques & Techniques
Vulnérabilités & Exploits
SmartLoader : l’infiltration à grande échelle via GitHub décryptée par la Purple Team Gatewatcher
SmartLoader : une campagne malveillante qui détourne GitHub et l’IA générative pour contourner les mécanismes de cybersécurité. Analysée par la Purple Team de Gatewatcher, elle repose sur des dépôts publics, des scripts légitimes et des techniques d’évasion pour garantir la persistance et complexifier la détection.
Lire la suite
LAB_TTPs Cybersecurity
Article
Cybercriminalité
Industrie & OT
Tactiques & Techniques
Le rôle des TTPs dans l’environnement cyber 
Découvrez le rôle des TTPs (Tactiques, Techniques, Procédures) en cybersécurité, leur classification dans MITRE ATT&CK et leur impact sur la détection des menaces.
Lire la suite