Новая иранская хакерская группа сочетает методы разных APT-актеров

Начало кампании пришлось на июнь 2025 года, когда злоумышленники начали массовую рассылку писем от имени Сюзанны Малони, вице-президента Брукingsского института. Атака отличалась масштабом: одновременно было атаковано более 20 сотрудников американского аналитического центра, что нехарактерно для иранских APT-групп. Изначально злоумышленники использовали безобидные темы для установления контакта, обсуждая экономическую нестабильность и внутренние политические волнения в Иране.

Особенностью операций UNK_SmudgedSerpent стало сочетание тактик, характерных для разных иранских групп. На начальном этапе атака напоминала методы TA453 (Charming Kitten), известной целевыми фишинговыми кампаниями против экспертов по Ближнему Востоку. Однако в отличие от типичной для TA453 тактики, UNK_SmudgedSerpent нацеливался на экспертов практически всех направлений - от национальной безопасности до глобального здравоохранения.

На этапе доставки вредоносной нагрузки группа перешла к методам, характерным для TA455 (Smoke Sandstorm). Злоумышленники использовали поддельные ссылки на OnlyOffice - облачный сервис для совместной работы с документами, которые перенаправляли на фишинговые страницы с медицинской тематикой. Инфраструктура атаки включала домены thebesthomehealth[.]com и mosaichealthsolutions[.]com, где размещались кастомизированные страницы для сбора учетных данных Microsoft 365.

Завершающая стадия атаки демонстрировала сходство с TA450 (MuddyWater). После загрузки ZIP-архива с поддельными документами злоумышленники развертывали инструменты удаленного управления и мониторинга (RMM) - PDQConnect и ISL Online. Использование RMM-инструментов редко встречается у государственных хакеров и ранее документировалось только у TA450.

Последующие кампании в июле и августе 2025 года показали изменение тактики - вместо массовых рассылок злоумышленники перешли к точечным атакам на отдельных экспертов. Темы приманок варьировались от расследования деятельности Корпуса стражей исламской революции (IRGC) до интересов Ирана в Латинской Америке.

Анализ инфраструктуры выявил дополнительную сложность атрибуции. Некоторые домены UNK_SmudgedSerpent, такие как healthcrescent[.]com, демонстрировали сходство с инфраструктурой TA455, включая использование карьерных тем и поддельных порталов Microsoft Teams. При этом на той же инфраструктуре обнаружилось вредоносное ПО MiniJunk - кастомный бэкдор, характерный именно для TA455.

Исследователи рассматривают несколько гипотез, объясняющих смешение тактик. Возможны централизованные закупки инфраструктуры или вредоносного ПО, мобильность персонала между группами, межличностный обмен техниками между оперативниками, параллельное развертывание подрядчиков или институциональное сотрудничество между разведслужбами Ирана.

Несмотря на отсутствие активности UNK_SmudgedSerpent с августа 2025 года, эксперты считают, что связанные с группой операции продолжаются. Появление нового актера с заимствованными техниками свидетельствует о возможной ротации кадров или обмене методами между иранскими кибергруппами при сохранении общей направленности на сбор разведывательной информации. Целевой фишинг против экспертов по иранской внешней политике продолжает отражать приоритеты разведывательного сообщества Ирана в сборе информации.

Domains

• accountroyal.com
• airbusaerodefence.com
• airbusaerodefence.nl
• airbus-careers.onlyoffice.com
• airbusgroup-careers.com
• airbushiring.com
• airbus-survay.onlyoffice.com
• alwayslivehealthy.com
• anteromarketing.com
• asiandefenses.com
• bodywellnessbycynthia.com
• boeinginformation.onlyoffice.com
• boeingspace.com
• careers2find.com
• careers-hub.org
• careers-portal.org
• careersworld.org
• chakracleansetherapy.com
• clearmindhealthandwellness.com
• collaboromarketing.com
• droneflywell.com
• dronetechasia.org
• easymarketing101.com
• ebixcareers.com
• ehealthpsuluth.com
• emiratescareers.org
• emiratesgroup-careers.com
• flydubai-careers.com
• germanywork.org
• global-careers.com
• gocareers.org
• healthcarefluent.com
• healthcrescent.com
• healthiestmama.com
• healthinfusiontherapy.com
• jadehealthcenter.com
• joinboeing.com
• kibanacore.com
• malebachhew2506090936.onlyoffice.com
• marketinglw.com
• mojavemassageandwellness.com
• mosaichealthsolutions.com
• msnapp.help
• msnapp.live
• msnclouds.com
• opportunities2get.com
• palaerospace.careers
• randcorp.onlyoffice.com
• rhealthylivingsolutions.com
• rheinmetallcareer.com
• rheinmetallcareer.onlyoffice.com
• rheinmetallcareer.org
• rheinmetallcareers.com
• sulumorbusinessservices.com
• thebesthomehealth.com
• thecareershub.org
• uavnodes.com
• usa-careers.com
• virgomarketingsolutions.com
• worldcareers.org
• zytonhealth.com

URLs

• https://suzzanemaloney2506090953.onlyoffice.com/s.-k6vjflsdagdsfgh

Emails

• patrick.clawson51@outlook.com
• patrickclawson51@gmail.com
• suzannemaloney68@gmail.com
• suzzanemaloney@gmail.com

SHA256

• 0bdb64fc1d5533f7b3fffaf821e89f286ad2d7400a914f21abdcbb7bb8a39e63
• 0fcdaa2f4db94e0589617830d3d80430627815ef0e4b0c7b7ff5c1ebb82a4136
• 129a40e38ef075c7d33d8517b268eb023093c765a32e406b58f39fab6cc6a040
• 1e9c31ce0eba2100d416f5bc3b97dafe2da0d3d9aee96de59ec774365fe3fe89
• 6eb7df21d6f1e3546c252a112504eefbb19205167db89038f2861118bbc8871c
• 7b5fb8202bff90398ab007579713f66430778249e43b46f35df6c3ded628f129
• cac018dccdf6ce4bef19ab71e3e737724aed104bc824332a5213c878b065ff50