В мае и июне 2025 года исследователи кибербезопасности из Nozomi Networks Labs зафиксировали резкий рост активности иранских хакерских групп, специализирующихся на целевых атаках (APT). Количество инцидентов увеличилось на 133% по сравнению с мартом и апрелем этого же года, что напрямую связано с обострением геополитической ситуации вокруг Ирана. Данные подтверждают предупреждения, выпущенные американскими властями, включая бюллетень CISA от 30 июня и последующее сообщение Министерства внутренней безопасности США, в которых подчеркивается, что государственные и частные организации США находятся в зоне повышенного риска.
Описание
Анализ телеметрических данных от клиентов Nozomi Networks показал, что за два месяца было зарегистрировано 28 атак, связанных с иранскими APT-группами, тогда как в предыдущий период их количество не превышало 12. Это свидетельствует о целенаправленном усилении киберопераций, направленных в первую очередь на промышленные предприятия и объекты критической инфраструктуры, особенно в транспортном и производственном секторах США.
Среди наиболее активных угрозовых группировок лидирует MuddyWater (также известная как SeedWorm), которая скомпрометировала как минимум пять американских компаний из указанных отраслей. Эта группировка, поддерживаемая иранскими властями и действующая с 2017 года, традиционно нацелена на правительственные структуры, телекоммуникации и энергетику Ближнего Востока, но в последнее время сместила фокус на западные активы.
Следом идет APT33 (Elfin), атаковавшая три американские компании с целью кражи коммерческой тайны в авиакосмической, энергетической и нефтехимической отраслях. Группировка OilRig (APT34 или Helix Kitten), действующая с 2014 года, также отметилась в двух атаках, используя фишинг и специализированное вредоносное ПО для сбора разведданных.
Особую опасность представляют группировки CyberAv3ngers и Fox Kitten (Pioneer Kitten). Первая повторно использовала инфраструктуру, задействованную в предыдущих операциях с вредоносным ПО OrpaCrab (IOCONTROL), направленным на промышленные системы. Fox Kitten, в свою очередь, известна долгосрочным закреплением в сетях для потенциального саботажа. Homeland Justice, ответственная за кибератаки на Албанию в 2022 году, также остается в списке угроз.
Эксперты Nozomi Networks отмечают, что эти группировки действуют скоординированно, нацеливаясь на стратегически важные объекты для достижения политических и экономических интересов Ирана. Важным маркером активности стало повторное использование ранее известных IP-адресов, что говорит о недостаточной защите операционных технологий (OT), интернета вещей (IoT) и IT-инфраструктуры.
В условиях, когда геополитические конфликты все чаще переносятся в цифровое пространство, своевременный обмен информацией между организациями и госструктурами становится критически важным. Только совместные усилия помогут минимизировать риски для критической инфраструктуры и предотвратить масштабные кибератаки.
Опубликованные Nozomi Networks Labs ранее уже ассоциировались с группировками: Asylum Ambuscade, MuddyWater, TA450 и Void Manticore.
Индикаторы компрометации
IPv4
- 104.200.128.206
- 104.200.128.71
- 144.202.84.43
- 159.100.6.69
- 164.132.237.65
- 169.150.227.230
- 185.118.66.114
- 185.162.235.29
- 194.187.249.102
- 31.192.105.28
- 5.199.133.149
- 64.176.172.101
- 64.176.172.235
- 64.176.173.77
- 95.181.161.50
