Иранская группа Screening Serpens атаковала США, Израиль и ОАЭ с помощью новых программ-шпионов, используя поддельные вакансии и перехват инициализации .NET

Группа действует как минимум с 2022 года, но последние атаки демонстрируют заметный рост её технических возможностей и операционной устойчивости. Основной целью Screening Serpens остаются специалисты технологического сектора. Атакующие используют глубоко персонализированную социальную инженерию - поддельные приглашения на собеседования от имени крупных брендов и кадровых платформ. Жертву вынуждают самостоятельно запустить вредоносный файл, после чего начинается цепочка заражения.

В [отчёте Unit 42 описаны две новые семьи вредоносных программ - MiniUpdate и обновлённая версия ранее известного MiniJunk V2. Обе семьи используют классические фишинговые письма (целевой фишинг) и технику DLL-загрузки (загрузки динамически подключаемых библиотек) через легитимные исполняемые файлы. Управляющие серверы (C2) располагаются преимущественно в облаке Microsoft Azure: для каждой цели и варианта трояна выделяется от трёх до пяти уникальных доменов, что предотвращает перекрёстное заражение и повышает живучесть инфраструктуры.

Наиболее важная эволюция в тактике группы - использование перехвата AppDomainManager. Этот метод манипулирует фазой инициализации .NET-приложений через легитимный конфигурационный файл. Специально добавленные директивы XML заставляют среду выполнения .NET (CLR) отключать собственные механизмы безопасности: запрещают трассировку событий Windows (ETW), отключают проверку цифровых подписей сборок и игнорируют политики перенаправления версий. В результате вредоносная полезная нагрузка (MiniUpdate или MiniJunk V2) выполняется в полностью немониторируемом контексте ещё до того, как запустится основное приложение. Это позволяет обойти большинство современных EDR-решений (систем обнаружения и реагирования на конечных точках), поскольку атакующие не занимаются опасным патчингом памяти - они просто просят .NET самому выключить защиту.

Первый вариант MiniUpdate был развёрнут в конце марта 2026 года. В одной из атак злоумышленники замаскировали архив под портал найма глобального авиаперевозчика. Внутри архива находились поддельные описания вакансий для senior-инженеров и IT-менеджеров, а также второй архив с исполняемым файлом setup.exe. После запуска появлялось поддельное окно ошибки "Не удалось подключиться к серверу опроса" - это отвлекало жертву, пока в фоне устанавливался троян. Вторая мартовская кампания нацеливалась на израильские организации: жертве сначала направляли настоящие ссылки на популярную видеоконференцию, затем - фишинговую страницу, имитирующую приглашение на встречу. Взаимодействие с подложной страницей вело к загрузке вредоносного архива с того же стороннего файлового сервиса.

В середине апреля появились два новых образца MiniUpdate, нацеленные на ОАЭ и ещё одну ближневосточную страну. В этих версиях расширен набор команд до 18 опкодов (против 16 в мартовских). Главное новшество - возможность разбивать большие файлы на фрагменты при выгрузке на сервер, что делает эксфильтрацию данных более скрытной и надёжной.

Семейство MiniJunk V2 было обнаружено ещё до начала конфликта: образец от 17 февраля 2026 года, вероятно, предназначался для цели на Ближнем Востоке. В этой атаке использовалась неработающая фишинговая ссылка с намеренной опечаткой (recreuitment), которая вела на пустую страницу. Жертву убеждали зайти в офлайн-портал через управляемое атакующими облачное хранилище ONLYOFFICE, откуда скачивался архив Portal.zip. Внутри находился легитимный setup.exe и скрытый DLL-файл uevmonitor.dll, который и был трояном. После запуска создавалась задача в планировщике Windows для закрепления в системе (persistence). Мартовская американская кампания MiniJunk V2 (архив Portable Platform.zip) использовала более сложную цепочку: один DLL выводил поддельное окно "Meeting Room", имитирующее подключение к конференции, а второй DLL в фоне устанавливал связь с C2.

Исследователи подчёркивают: следует обращать внимание не только на сигнатуры вредоносных программ, но и на аномалии выполнения - DLL-загрузку и перехват AppDomainManager. EDR-инструменты должны рассматривать эти техники как высокорискованные. По состоянию на апрель 2026 года активность Screening Serpens не снижается; организации должны усилить защиту, особенно в секторах авиакосмической промышленности, оборонного производства и телекоммуникаций.

Domains

• buisness-centeral.azurewebsites.net
• buisness-centeral-transportation.azurewebsites.net
• buisness-centeral-transportation.com
• businessstartup.azurewebsites.net
• business-startup.azurewebsites.net
• business-startup.org
• docspace-twpf0e.onlyoffice.com
• docspace-y4cumb.onlyoffice.com
• elementshift.azurewebsites.net
• licencemanagers.azurewebsites.net
• licencesupporting.azurewebsites.net
• nanomatrix.azurewebsites.net
• peerdistsvcmanagers.azurewebsites.net
• premierhealthadvisory.azurewebsites.net
• premier-healthadvisory.azurewebsites.net
• premierhealthadvisory.com
• quantumweave.azurewebsites.net
• ramiltons-finance.azurewebsites.net
• ramiltonsfinance.com
• themesmanagers.azurewebsites.net
• themesprovidermanagers.azurewebsites.net

URLs

• https://2117.filemail.com/api/file/get?filekey=T0EnWQ6NugHkW_kLfDxPBEw_um6NSkg9ZwNRQ_5lrKrLLUo35pV8m3TKv1LqF3zZzdUm
• https://app[redacted].live/meeting/edcdba624ddb43c2a1dcf334aa493068
• https://docspace-twpf0e.onlyoffice.com/storage/files/root/folder_3765000/file_3764519/v1/content.zip?filename=remote.[REDACTED].zip
• https://docspace-y4cumb.onlyoffice.com/storage/files/root/folder_3602000/file_3601577/v1/content.zip[...]

SHA256

• 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864
• 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17
• 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d
• 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa
• 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250
• 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27
• 8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b
• 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84
• 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1
• B19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4
• bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad
• d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2