Иранская кибергруппа Boggy Serpens наращивает активность, атакуя критическую инфраструктуру с помощью ИИ и Rust

Ранее группа Boggy Serpens, деятельность которой отслеживается с 2017 года и которая ассоциируется с Министерством разведки и национальной безопасности Ирана (MOIS), была известна скорее количеством, чем качеством атак. Её операции часто были шумными и полагались на злоупотребление легитимными инструментами для удалённого администрирования (RMM). Однако за последний год тактика группы кардинально изменилась в сторону долгосрочного закрепления в системах жертв и повышенной скрытности. Этот сдвиг стал возможен, в частности, благодаря увеличению ресурсов и координации внутри иранского киберпространства, о чём свидетельствуют оперативные пересечения с другой известной группировкой, Evasive Serpens.

Одним из наиболее показательных примеров новой операционной модели Boggy Serpens стала длительная кампания против национальной энергетической и морской компании в ОАЭ. С августа 2025 по февраль 2026 года исследователи зафиксировали четыре отдельные волны атак на эту организацию. Каждая волна использовала фишинговые приманки, тщательно адаптированные под разные отделы компании: инженерный, финансовый и отдел логистики. Например, сотрудникам направлялись документы, имитирующие отчёты о прогрессе подводных трубопроводов, внутренние финансовые отчёты в местной валюте дирхам (AED) и даже поддельные подтверждения бронирования авиабилетов. Такая настойчивость и глубина предварительной разведки указывают на стратегический интерес к проникновению в региональную энергетическую и логистическую инфраструктуру.

Ключевым элементом успеха атак стала тактика компрометации доверенных отношений. Вместо того чтобы рассылать письма с внешних поддельных адресов, группа целенаправленно взламывала легитимные корпоративные и правительственные почтовые ящики. В частности, в августе 2025 года для рассылки фишинговых документов, замаскированных под дипломатическую переписку, был использован скомпрометированный аккаунт Министерства иностранных дел Омана. Аналогично, в начале 2026 года атака на телекоммуникационного провайдера в Туркменистане велась с внутреннего служебного адреса info@<название_компании>.tm. Поскольку такие письма проходят стандартную аутентификацию и исходят изнутри организации или от проверенного отправителя, они часто обходят фильтры спама и репутационные системы защиты, получая низкий или отрицательный уровень уверенности в спаме (SCL -1). Этот метод позволяет злоумышленникам эффективно преодолевать первый, периметровый рубеж обороны.

После того как жертва открывает вложение, срабатывает второй слой социальной инженерии. Многие документы отображаются размытыми или с сообщением о создании в старой версии Microsoft Office, что вынуждает пользователя нажать «Включить содержимое» для макросов. После этого макрос не только показывает читаемый текст, укрепляя доверие, но и незаметно запускает вредоносную полезную нагрузку. Группа использует несколько параллельных линий разработки для доставки разных типов вредоносов. К ним относятся как полнофункциональные бэкдоры, так и более лёгкие варианты, такие как UDPGangster, который для командования и управления использует нестандартный трафик по протоколу UDP, что затрудняет его обнаружение традиционными сетевыми системами IPS/IDS (системами предотвращения и обнаружения вторжений).

Особое внимание привлекает технологическая эволюция инструментария группы. В арсенале Boggy Serpens появился бэкдор BlackBeard, написанный на языке Rust, что обеспечивает высокую производительность и сложность для статического анализа. Кроме того, исследователи обнаружили новый удалённый троян (RAT), также созданный на Rust, под названием LampoRAT. Этот троян использует для скрытого взаимодействия с операторами API мессенджера Telegram, маскируя команды и извлечённые данные под легитимный зашифрованный HTTPS-трафик. Анализ строк в коде LampoRAT выявил любопытную деталь: для индикации статуса выполнения команд используются эмодзи (например, ✅ и ❌). Такой стиль нехарактерен для традиционных разработчиков вредоносного ПО, но часто встречается в коде, сгенерированном большими языковыми моделями (LLM, разновидность ИИ), что указывает на использование группой генеративного искусственного интеллекта для ускорения создания новых модификаций malware.

Эксперты Palo Alto Networks отмечают в своём отчёте, что наблюдали прямую активность операторов Boggy Serpens в контролируемой тестовой среде. Примерно через 12 часов после заражения макетной системы бэкдором UDPGangster злоумышленники вручную начали выполнять рекогносцировочные команды, такие как "ipconfig /all" и "dir", что подтверждает переход от автоматизированного распространения к целенаправленному, управляемому человеку взаимодействию с каждой новой жертвой. Эта гибридная модель - сочетание автоматизированных массовых рассылок через собственные платформы и последующей ручной работы операторов - делает группу особенно опасной.

Устойчивый интерес группировки к критической инфраструктуре, её способность адаптировать инструментарий и использовать современные технологии разработки формируют серьёзный профиль угрозы. Для противодействия таким атакам организациям, особенно в целевых секторах и регионах, необходимо выходить за рамки проверки репутации отправителя. Критически важно внедрять строгие политики, ограничивающие выполнение макросов в документах Office, а также использовать поведенческий анализ на конечных точках для обнаружения аномальной активности процессов, которая может указывать на выполнение скрытой полезной нагрузки. Мониторинг сетевого трафика на предмет нестандартных протоколов, таких как кастомный UDP, и аномальных подключений к публичным API (например, Telegram) также может помочь в выявлении компрометации на ранних стадиях. В условиях, когда государственные кибергруппы активно интегрируют ИИ в свой цикл разработки, скорость и адаптивность защитных мер становятся ключевыми факторами киберустойчивости.

IPv4

• 157.20.182.75
• 159.198.66.153
• 159.198.68.25
• 46.101.36.39
• 64.7.198.12

Domains

• bootcamptg.org
• codefusiontech.org
• maxisteq.org
• miniquest.org
• Netivtech.org
• nomercys.it.com
• promoverse.org
• reminders.trahum.org
• screenai.online
• stratioai.org

SHA256

• 0be499354dc498248d27f6d186eb3bb75a607ae4a2c0a6734c76f1a1b7b1d316
• 0ce54a5a6f061b158e3891aadd03773d0bae220b0316e84fc042a741924b3525
• 156b325231742a73ded4104fbde1c55ad3913d2eaf09b5194ef74c81ee3ba393
• 167d5ab70f55c100e51833fbfea44048095889c162e1330df0631423fc547409
• 1b9e6fe4b03285b2e768c57e320d84323ac9167598395918d56a12e568b0009a
• 1bcd8d7dc7bed5873bbdd2822e84e19773a33d659b16587ca9dc6db204447a86
• 1c16b271c0c4e277eb3d1a7795d4746ce80152f04827a4f3c5798aaf4d51f6a1
• 23f3a98befdff13c802eed32eea754018b8b525ec0dd3afce8459a0287df74ec
• 2c92c7bf2d6574f9240032ec6adee738edddc2ba8d3207eb102eddf4ab963db0
• 47bb271c34210f52e3e08339a0c83688d9e9aa5c7cfc45b3e4bdffd1753f6cb2
• 4d2958d93d4650fc4a70f70663fe6943e8c11d61b2824512da296e8fd84e5bb9
• 4db3645f678fb519b9f529dde41f77944754f574f16a9a845c22d3703da5bed0
• 52d8fb9a11920f27b9a3b43f27c275767a57cdffc95af94b7b66433506287314
• 5323a573e3f423b69ef965dadb3c059879d718b1c9052038ef749868cf361891
• 5ec5a2adaa82a983fcc42ed9f720f4e894652bd7bd1f366826a16ac98bb91839
• 668dd5b6fb06fe30a98dd59dd802258b45394ccd7cd610f0aaab43d801bf1a1e
• 69e038b9f3a228f09059bc1ce92b1c5c49396bb70987a38df0fdb39eed380b22
• 6f079c1e2655ed391fb8f0b6bfafa126acf905732b5554f38a9d32d0b9ca407d
• 7523e53c979692f9eecff6ec760ac3df5b47f172114286e570b6bba3b2133f58
• 7ea4b307e84c8b32c0220eca13155a4cf66617241f96b8af26ce2db8115e3d53
• 81a6e6416eb7ab6ce6367c6102c031e2ae2730c3c50ab9ce0b8668fec3487848
• 84e665a0dfbff74b4c356bfa282c7c253ae3411a8f4d58bfe121c8411c52552c
• 8d2227f2c53d7e22a57e12c45cecdd43dbec08dbc3ab93e74e6df52cdf80548b
• 9c207c51c448f96eaae91241a39c8bb85e2307f2d2a99244763a53176cf4c02f
• a2001892410e9f34ff0d02c8bc9e7c53b0bd10da58461e1e9eab26bdbf410c79
• b2c52fde1301a3624a9ceb995f2de4112d57fcbc6a4695799aec15af4fa0a122
• c3afd5ce1ca50a38438bb5026cca27bfbf2d8e786e03f323adceb8ad17517eca
• c91413ad7c94c0e2694862b9d671d1204873bf65576ba2cb91fbd562a4ccf79b
• cc2ec568f978f328b6de112670a1b35ca1f9db377ff32cb9d313a5b2ac3c127b
• f38a56b8dc0e8a581999621eef65ef497f0ac0d35e953bd94335926f00e9464f
• fc4a7eed5cb18c52265622ac39a5cef31eec101c898b4016874458d2722ec430