Иранские спецслужбы интегрируются в киберпреступную экосистему для атак на стратегические цели

Долгое время взаимодействие иранских спецслужб с криминальными элементами наблюдалось в физическом мире - для организации похищений, слежки или насильственных акций с сохранением правдоподобного отрицания причастности. Теперь эта модель успешно перенесена в цифровую среду. Согласно анализу, активность таких групп, как Void Manticore (также известная под именем «Handala Hack») и MuddyWater, демонстрирует повторяющиеся пересечения с криминальными кластерами. Это даёт двойное преимущество: доступ к зрелым вредоносным инструментам и отказоустойчивой инфраструктуре, с одной стороны, и создание постоянной путаницы в атрибуции - с другой.

Группа Void Manticore, ответственная за ряд громких операций по взлому и утечке данных, например, против Албании под видом хактивистов «Homeland Justice», также использует коммерческий инфостилер Rhadamanthys. Этот троянец, активно продающийся на даркнет-форумах, применялся в фишинговых кампаниях против израильских целей под прикрытием рассылки от имени Национального киберуправления Израиля. Использование подобного широко распространённого криминального инструмента стирает границы между государственной и финансово мотивированной активностью.

Ещё более показателен случай с группой MuddyWater, которую киберкомандование США (US Cyber Command) и Агентство кибербезопасности и инфраструктурной безопасности (CISA) напрямую связывают с MOIS. Её деятельность недавно была переплетена с несколькими криминальными кластерами, что привело к значительной путанице среди исследователей. Например, была обнаружена связь MuddyWater с ботнетом Tsundere, также известным как DinDoor, который использует скрипты на Node.js и Deno для выполнения кода на скомпрометированных машинах. Кроме того, через общие сертификаты кодовой подписи обнаруживается связь с загрузчиком CastleLoader, распространяемым по модели «вредоносное ПО как услуга». Эксперты из компании Recorded Future в своём отчёте указывают, что такие совпадения не обязательно означают, что MuddyWater является аффилиатом криминальных операторов, но явно свидетельствуют о доступе к общим ресурсам и инфраструктуре криминального подполья.

Наиболее ярким примером стратегического использования криминального прикрытия стала атака на медицинский центр «Шамир» в Израиле в октябре 2025 года. Инцидент изначально был представлен как атака программ-вымогателей группы Qilin, работающей по партнёрской модели. Однако последующие оценки израильских специалистов прямо указали на иранских государственных операторов, использовавших брендинг и методы Qilin для достижения стратегических целей. Эта атака вписывается в более широкую кампанию MOIS и «Хезболлы» против израильских больниц. Участие в программе аффилиатов криминального RaaS-оператора служит не только камуфляжем, но и реальным оперативным инструментом, особенно после ужесточения мер безопасности в израильском здравоохранении.

Таким образом, для иранских, в частности MOIS-связанных, угрозовых акторов киберпреступность перестала быть просто маскировкой. Она превратилась в практический операционный ресурс. Этот тренд требует от специалистов по безопасности пересмотра подходов к расследованию инцидентов. Традиционные методы кластеризации активностей на основе общих инструментов или инфраструктуры теперь могут давать сбой, объединяя разнородные группы. Крайне важно углублять контекстуальный анализ, уделяя больше внимания тактикам, техникам и процедурам, конечным целям операций и их геополитическому фону, чтобы за шумом криминальных инструментов разглядеть истинные государственные интересы.

Certificate Thumbprint

• 0902d7915a19975817ec1ccb0f2f6714aed19638
• 2087bb914327e937ea6e77fe6c832576338c2af8
• 21a435ecaa7b86efbec7f6fb61fcda3da686125c
• 389b12da259a23fa4559eb1d97198120f2a722fe
• 551bdf646df8e9abe04483882650a8ffae43cb55
• 579a4584a6eef0a2453841453221d0fb25c08c89
• 9dcb994ea2b8e6169b76a524fae7b2d2dcd1807d
• b674578d4bdb24cd58bf2dc884eaa658b7aa250c
• d920ae0f8ea8b5bd42de49e01c6bbd4c2c6d0847
• f8444dfc740b94227ab9b2e757b8f8f1fa49362a

SHA256

• 077ab28d66abdafad9f5411e18d26e87fe43da1410ee8fe846bd721ab0cb52de
• 24857fe82f454719cd18bcbe19b0cfa5387bee1022008b7f5f3a8be9f05e4d14
• 2a09bbb3d1ddb729ea7591f197b5955453aa3769c6fb98a5ef60c6e4b7df23a5
• 2b7d8a519f44d3105e9fde2770c75efb933994c658855dca7d48c8b4897f81e6
• 4aef998e3b3f6ca21c78ed71732c9d2bdcc8a4e0284f51d7462c79d446fbc7be
• 64263640a6fdeb2388bca2e9094a17065308cf8dcb0032454c0a71d9b78327eb
• 64cf334716f15da1db7981fad6c81a640d94aa1d65391ef879f4b7b6edf6e7f1
• 74db1f653da6de134bdc526412a517a30b6856de9c3e5d0c742cb5fe9959ad0d
• 94f05495eb1b2ebe592481e01d3900615040aa02bd1807b705a50e45d7c53444
• a4bd1371fe644d7e6898045cc8e7b5e1562bdfd0e4871d46034e29a22dec6377
• a8c380b57cb7c381ca6ba845bd7af7333f52ee4dc4e935e98b48bb81facad72b
• a92d28f1d32e3a9ab7c3691f8bfca8f7586bb0666adbba47eab3e1a8faf7ecc0
• aae017e7a36e016655c91bd01b4f3c46309bbe540733f82cce29392e72e9bd1f
• ddceade244c636435f2444cd4c4d3dc161981f3af1f622c03442747ecef50888