Новая кампания Charming Kitten: стратегический выбор целей и слежка за исследователями

Основой кампании стало создание поддельного аккаунта в Telegram, имитирующего Ариан Табатабаи - официальное лицо Пентагона, которое в прошлом году подвергалось расследованию Конгресса США из-за связей с Иранской экспертной инициативой и было переведено с должности в спецоперациях на пост в Force Education в октябре 2024 года. Выбор фигуры, уже вовлечённой в публичные споры, свидетельствует о глубоком понимании группой политического контекста и расчёта на доверие жертв.

Особенностью данной операции стало длительное предварительное наблюдение. Фейковый аккаунт @ArianTabatabai с номером телефона из Великобритании был зарегистрирован ещё в мае 2025 года, однако оставался неактивным до конца июля. 19 мая аккаунт присоединился к публичному каналу автора данного исследования, что указывает на преднамеренный мониторинг деятельности специалистов по кибербезопасности. Это подтверждает, что группа отслеживает публикации индикаторов компрометации (IoC) и оперативно реагирует на раскрытие своей инфраструктуры.

Сообщения злоумышленников строились вокруг приглашений на «важные встречи» в Вашингтоне, обсуждения «новых разработок» в политике США и запросов консультаций по иранской тематике. После установления контакта жертвы перенаправлялись на фишинговые страницы, размещённые на Google Sites, а затем на домены, контролируемые группой.

Техническая инфраструктура кампании отличается высокой степенью автоматизации и масштабом. Выявлено более 30 активных доменов в зоне .online, зарегистрированных в июле-августе 2025 года, которые не фигурировали в ранее опубликованных источниках. Наиболее значимые из них - jessyland[.]online (сервер управления и контроля) и viliam[.]online-speak[.]online (основной фишинговый ресурс). Для передачи данных в реальном времени использовались WebSocket-соединения, что позволяет перехватывать каждое нажатие клавиши и изменение полей форм.

Анализ сетевой активности выявил использование как WebSocket (wss://jessyland[.]online:8569/room), так и традиционных POST-запросов для эксфильтрации данных. Фишинговые страницы точно воспроизводят процесс восстановления аккаунта Google, включая отображение электронной почты жертвы, запрос подтверждения с другого устройства и создание ощущения срочности с помощью таймера.

Кампания демонстрирует серьёзные изменения в тактике группы по сравнению с предыдущими операциями: целенаправленный выбор целей на основе их медийной активности, длительная подготовка, автоматизированное создание инфраструктуры и технические улучшения, включая использование современных протоколов связи. Это указывает на переход от тактики массового фишинга к точечным, тщательно спланированным атакам на конкретных лиц, представляющих операционный интерес.

Эксперты с высокой степенью уверенности приписывают данную кампанию группе Charming Kitten на основе характерных методов социальной инженерии, паттернов инфраструктуры, использования Google Sites в качестве промежуточного звена и соответствия времени проведения иранским политическим событиям.

IPv4

• 185.90.162.66
• 79.132.131.184

Domains

• 1750a814-2aa9-4034-a610-89af9b558e61.arcanet.online
• admin.amjc-jp.com
• alpha-meet.online
• alpha-met.online
• alpha-radial.online
• amjc-jp.com
• arcanet.online
• azdava.online
• book.alpha-radial.online
• book.check-safe.online
• book.facepanel.online
• book.good-while.online
• book.into-panel.online
• book.jessyland.online
• book.kuret-live.online
• book.lingo-web.online
• book.lingside-panel.online
• book.loside-panel.online
• book.nerdes-look.online
• book.panel-personal.online
• book.powlow.online
• book.safe-core.online
• book.samoli.online
• book.tapanj.online
• book.tomsahor.online
• book.view-tools.online
• cppsg.online
• good-while.online
• into-panel.online
• into-support.online
• kuret-live.online
• kuret-met.online
• lingo-web.online
• live-board.online
• look-together-online.online
• mail.amjc-jp.com
• nerdes-look.online
• online-speak.online
• owner-rate.online
• panel-personal.online
• powlow.online
• safe-core.online
• safe-lord.online
• samoli.online
• smtp.amjc-jp.com
• tapanj.online
• tensore.online
• teslator.online
• tomsahor.online
• view-tools.online
• viliam.alpha-meet.online
• viliam.alpha-met.online
• viliam.arcanet.online
• viliam.azdava.online
• viliam.cppsg.online
• viliam.into-support.online
• viliam.kuret-live.online
• viliam.kuret-met.online
• viliam.live-board.online
• viliam.online-speak.online
• viliam.owner-rate.online
• viliam.p-safe.online
• viliam.safe-lord.online
• viliam.tensore.online
• viliam.teslator.online
• viliam.viliam-live-identity.online
• viliam-live-identity.online
• villiam.online-speak.online
• www.amjc-jp.com

Domain Port Combinations

• jessyland.online:8569