Киберразведка обнаружила новые серверы иранской хакерской группы APT35

Обнаруженные серверы демонстрируют значительное сходство с инфраструктурой, ранее задокументированной компанией Check Point в отчете о деятельности APT35. В настоящее время серверы остаются активными и обслуживают множество доменов, используемых для фишинговых атак.

Группа APT35, также известная под названиями Mint Sandstorm, Charming Kitten и Educated Manticore, аффилирована с Корпусом стражей исламской революции (Иран) и ведет деятельность с 2015 года. Группа специализируется на шпионаже и наблюдении, нацеливаясь на правительственные учреждения, военные организации, СМИ, академические и международные структуры в США, на Ближнем Востоке и в Европе.

Исследователи Stormshield обратили внимание на HTML-страницу, описанную в отчете Check Point, которая отображает четыре разноцветные точки. Анализ исходного кода показал его стандартную структуру с подключением JavaScript и CSS файлов. При этом на различных доменах, связанных с кампанией, изменялись только пути к файлам скриптов и стилей.

Используя платформу SilentPush, специалисты создали поисковый запрос на основе хеш-значения html_body_ssdeep для обнаружения аналогичных страниц в интернете. Этот подход позволил выявить восемь совпадений с IPv4-адресами из отчета Check Point - 45.143.166[.]230 и 195.66.213[.]132, а также два новых адреса: 84.200.193[.]20 и 79.132.131[.]184.

Сервер 84.200.193[.]20, размещенный у хостинг-провайдера Ultahost, Inc., в основном обслуживал домены в июле 2025 года в течение периодов от двух до двенадцати дней. В настоящее время этот IPv4-адрес разрешается только для домена rohan63[.]xyz.

Второй сервер, 79.132.131[.]184 от SERVINGA, активно используется с 20 июля 2025 года и продолжает функционировать. Он обслуживает 49 доменов в зоне .online, причем самый новый домен proof-video[.]online был зарегистрирован 20 сентября 2025 года. Анализ показал, что все эти домены используются для фишинга, имитируя видеоконференции с названиями типа meet.go0gle[.]online или meet.video-connect[.]online.

Использование темы видеоконференций, в частности Google Meet, для фишинговых атак соответствует тактике APT35, которая наблюдается с 2023 года, как отмечалось в отчете Google.

В ходе расследования также были выявлены методы отслеживания активности группы. Поиск в VirusTotal по URL-адресам с доменом .online и параметром "?invitation" позволил обнаружить несколько подозрительных ссылок. Все найденные URL-адреса были отправлены на анализ из Швеции и Израиля, что может указывать на географию целевых атак.

Еще одним эффективным методом отслеживания оказался поиск поддоменов, начинающихся с "viliam.". Запрос в VirusTotal выявил 112 доменов, причем не все из них связаны с инфраструктурой APT35, но такой подход позволяет выявлять потенциально опасные ресурсы.

Кампания, о которой первоначально сообщила Check Point, продолжается. APT35 не изменила методы настройки фишинговых доменов по сравнению с предыдущей задокументированной активностью, что облегчает защитникам отслеживание их действий. Обнаруженные URL-адреса свидетельствуют, что текущая кампания по-прежнему нацелена на Израиль, что соответствует историческому профилю целей этой группы.

Эксперты по безопасности могут использовать описанные методы поиска для выявления дополнительных элементов инфраструктуры APT35 и принятия проактивных мер защиты. Сохранение группировкой прежних тактик, техник и процедур (TTP) упрощает работу защитников, но требует постоянного мониторинга и обновления индикаторов компрометации.

IPv4

• 79.132.131.184
• 84.200.193.20

Domains

• alpha-meet.online
• alpha-met.online
• arcanet.online
• azdava.online
• besatoo.online
• book.kuret-live.online
• cppsg.online
• dmn-inter.online
• ell-safe.online
• go0gle.online
• into-support.online
• kuret-live.online
• live.besatoo.online
• live-board.online
• look-together-online.online
• meet.azdava.online
• meet.ell-safe.online
• meet.go0gle.online
• meet.proof-video.online
• meet.video-connect.online
• mickel.besatoo.online
• online-speak.online
• oranus.besatoo.online
• owner-rate.online
• proof-video.online
• p-safe.online
• robinthing123.online
• rohand63.xyz
• safe-lord.online
• superlite.online
• tensore.online
• teslator.online
• toolfare.online
• video-connect.online
• viliam.alpha-meet.online
• viliam.alpha-met.online
• viliam.arcanet.online
• viliam.azdava.online
• viliam.besatoo.online
• viliam.cppsg.online
• viliam.dmn-inter.online
• viliam.into-support.online
• viliam.kuret-live.online
• viliam.kuret-met.online
• viliam.live-board.online
• viliam.look-together-online.online
• viliam.online-speak.online
• viliam.owner-rate.online
• viliam.p-safe.online
• viliam.robinthing123.online
• viliam.rohand63.xyz
• viliam.safe-lord.online
• viliam.superlite.online
• viliam.tensore.online
• viliam.teslator.online
• viliam.toolfare.online
• viliam.viliam-live-identity.online
• viliam-live-identity.online
• villiam.online-speak.online
• www.go0gle.online
• www.look-together-online.online
• www.owner-rate.online
• www.p-safe.online
• www.rohand63.xyz
• www.toolfare.online
• www.video-connect.online