Группа киберразведки Lookout обнаружила новую кампанию иранской хакерской группировки Static Kitten, распространяющую шпионское ПО DCHSpy под видом VPN-сервисов и приложений Starlink. Целевой аудиторией стали пользователи Android в Иране и ближневосточном регионе, что совпадает с эскалацией региональных конфликтов. Активность отслеживается с октября 2023 года, но последние образцы демонстрируют расширенные возможности по краже данных. Зловредное ПО маскируется под решения для обхода интернет-цензуры, эксплуатируя социальную инженерию через Telegram-каналы и фишинговые сайты.
Описание
DCHSpy функционирует как полноценный шпионский инструмент, способный извлекать переписку WhatsApp, историю звонков, геолокацию, фотографии, видеозаписи и контакты. Дополнительно регистрирует аудио через микрофон, делает скриншоты экрана и отслеживает активность в браузерах. Инфраструктура управления базируется на иранских IP-адресах, причем трафик передается без шифрования, что указывает на умеренные меры операционной безопасности. Установка происходит исключительно через сторонние платформы, так как вредоносные APK отсутствуют в официальном магазине Google Play.
Static Kitten, известная также как MuddyWater и TA450, связывается экспертами по безопасности с Министерством разведки Ирана. С 2017 года группировка специализируется на целевых атаках против госструктур, телекоммуникационных компаний и оборонного сектора Ближнего Востока. Их методы включают фишинговые рассылки с макросами, PowerShell-скрипты и использование легитимных инструментов вроде ScreenConnect для удаленного доступа. Выбор лже-приложений Starlink не случаен: спутниковый интернет Илона Маска пользуется спросом в странах с ограниченным доступом в сеть.
Анализ временной шкалы показывает синхронизацию кампании с политической напряженностью. Усиление функционала DCHSpy осенью 2023 года совпало с началом открытого противостояния между Ираном и Израилем. Эксперты предполагают, что сбор данных направлен на мониторинг внутренних диссидентов или получение разведданных о пользователях, пытающихся обойти государственные ограничения. Социальная инженерия построена на двух ключевых нарративах: предложение "безопасного" доступа в интернет через VPN и имитация установщиков Starlink для обхода санкционных блокировок.
Технические детали указывают на ручную настройку атак. Каждый образец содержит хардкодные домены C2-серверов, а сбор информации активируется через нативные библиотеки Android. При этом отсутствуют эксплойты уязвимостей нулевого дня - инсталляция требует сознательных действий пользователя. Файлы маскируются под "StarlinkManager", "VPN Sazan", "MahsaVPN" и другие нейтральные названия. После запуска приложение запрашивает разрешения на доступ к контактам, микрофону и хранилищу, аргументируя это "технической необходимостью".
Исторически Static Kitten демонстрирует адаптивность тактик. В 2022-2024 годах группировка переключилась с атак на Windows-системы на мобильные устройства, учитывая рост их использования в корпоративной среде. DCHSpy продолжает эту тенденцию, фокусируясь на смартфонах как источниках персональных и профессиональных данных. География операций включает не только Иран, но и ОАЭ, Кувейт, Израиль, а также страны Центральной Азии. Целевые сектора варьируются от энергетики до дипломатических миссий, что соответствует внешнеполитическим интересам Тегерана.
Ключевой особенностью кампании остается локализованный характер. Все образцы содержат интерфейс на фарси, а C2-серверы используют домены .ir. Это снижает риск обнаружения за пределами целевого региона, но упрощает атрибуцию для аналитиков. Отсутствие шифрования данных при эксфильтрации позволяет перехватывать трафик, однако текущие образцы остаются активными. Мониторинг Telegram-каналов выявил постоянное обновление ссылок для скачивания, что свидетельствует о продолжении операции.
В контексте иранских кибергруппировок Static Kitten занимает нишу "тихих" операций, в отличие от деструктивных атак, характерных для APT34. Их инструментарий ориентирован на длительный сбор информации без привлечения внимания. DCHSpy встраивается в список приложений без иконок, скрывая процессы под системными службами. Сохранение работоспособности при перезагрузке устройства обеспечивается через автозапуск. Эксперты отмечают, что подобные кампании отражают глобальную тенденцию государственного шпионажа через мобильные платформы, где традиционные средства защиты менее эффективны.
Потенциальный охват оценивается как значительный из-за массового распространения через соцсети. Telegram остается основным мессенджером в Иране, где аудитория превышает 50 миллионов пользователей. Фишинговые сообщения имитируют рассылки от IT-компаний или активистов, предлагающих "запрещенные" инструменты. Успех атаки зависит исключительно от действий пользователя, что подчеркивает роль человеческого фактора в современных киберугрозах. Активность Static Kitten подтверждает стратегическую важность мобильных шпионских программ в государственном аппарате Ирана.
Индикаторы компрометации
URLs
- http://185.203.119.134/DP/dl.php?pk=12b107776e5afd269b18026993d7589f
- http://185.203.119.134/DP/dl.php?pk=12b107776e5afd269b18026993d7589f&check=2
MD5
- bdd0d556166ad0af9ded39ab4b9ed34f
SHA1
- cb2ffe5accc89608828f5c1cd960d660aac2971d
SHA256
- 3a052d56706a67f918ed3a9acec9a2da428a20065e261d8e40b73badb4c9d7f4
