Спустя пять месяцев после беспрецедентной утечки внутренних документов иранской хакерской группы APT35 мир столкнулся с эскалацией конфликта, где цифровые операции и традиционные военные действия оказались тесно переплетены. Анализ опубликованных архивов показывает, что сетевые атаки давно перестали быть лишь инструментом шпионажа или вандализма, превратившись в критически важный этап подготовки к полноценным военным операциям. Этот инцидент меняет понимание роли киберразведки в современном гибридном конфликте и ставит острые вопросы о готовности обороняющихся сторон.
Описание
В сентябре-октябре 2025 года на GitHub появился анонимный аккаунт KittenBusters, который опубликовал четыре порции внутренних архивов группы, известной под названиями APT35, Charming Kitten, Phosphorus. Утечка, которую разведывательное сообщество сразу признало наиболее полным публичным разоблачением иранских государственных хакеров, включала отчеты об атаках, журналы персонала, исходный код вредоносного программного обеспечения, биткойн-бухгалтерию и инвентаризацию инфраструктуры. Несколько независимых аналитических компаний провели перекрестную проверку данных, подтвердив их высокую достоверность на основе персидских временных меток, верифицированных блокчейн-транзакций и совпадения кода вредоноса BellaCiao с ранее опубликованными отчетами.
Спустя несколько месяцев, 28 февраля 2026 года, США и Израиль начали совместную военную операцию "Epic Fury", нанеся удары по ядерным объектам, ракетным производствам и командной структуре Корпуса стражей исламской революции (КСИР) Ирана. Ответ Ирана был незамедлительным и масштабным: баллистические ракеты и дроны атаковали цели в семи странах, включая Саудовскую Аравию, ОАЭ и Израиль, что привело к фактическому закрытию Ормузского пролива. Ключевое наблюдение, которое делают аналитики, заключается в том, что каждая из стран, подвергшаяся кинетическому удару, предварительно была систематически разведана и проникнута той самой группой APT35.
Сопоставление данных из утечки с целями реальных ударов выстраивается в четкую матрицу. Например, в Иордании APT35 через уязвимость в Telerik проникла в систему Министерства юстиции, получив доступ к данным судов и базам данных юристов и судей, а также к файлам Гражданского авиационного комитета. Позднее иранские ракеты поразили столицу Амман и объекты в северной части страны. В ОАЭ хакеры получили доступ к внутренним системам правительства Дубая, а в ходе атаки пострадали международный аэропорт Дубая и порт Джебель-Али. Подобное точное совпадение цифровых целей разведки и последующих физических ударов наблюдается и по другим странам: Саудовской Аравии, Кувейту, Катару, Бахрейну и Израилю. В последнем случае активность была наиболее продолжительной: было скомпрометировано более 580 модемов для манипуляций DNS, а также проводилась целенаправленная разведка против крупного производителя вооружений Rafael.
Эта системность заставляет экспертов с высокой степенью уверенности утверждать, что сетевая разведка APT35 выполняла функцию подготовки данных для поля боя. В то же время, как отмечают аналитики, альтернативная интерпретация также имеет право на существование: возможно, и сетевые, и кинетические цели просто отражают долгосрочные стратегические приоритеты Ирана, развивающиеся параллельно без формальной передачи разведданных. Однако точное совпадение по времени и конкретным объектам, таким как авиационная инфраструктура, делает эту версию менее убедительной.
Одним из наиболее значимых аспектов утечки стало полное раскрытие исходного кода вредоносного программного обеспечения группы, включая удалённые трояны доступа, кейлоггеры и инструменты для кражи данных. Например, Sagheb RAT использует маршрутизацию через Tor и кастомные реле, что указывает на серьёзные инвестиции в защиту от атрибуции. Финансовые записи за 19 месяцев демонстрируют высокодисциплинированную модель работы с криптовалютой: каждый биткойн-кошелёк использовался лишь для двух транзакций, что затрудняет отслеживание. Инфраструктура группы оказалась типичной для продвинутых угроз: регистрация доменов через Namecheap и Shinjiru, DNS-менеджмент через Cloudns.net и хостинг у анонимных провайдеров.
Важным контекстом эскалации стало ослабление оборонительных возможностей на стороне жертв. Агентство кибербезопасности и инфраструктурной безопасности США переживало период сокращения штата из-за бюджетных ограничений, что, по мнению наблюдателей, создало критическое окно уязвимости в момент наивысшего напряжения. Это сместило бремя реагирования на частный сектор и механизмы двусторонней координации между союзниками.
Стратегическим открытием утечки стало доказательство того, что две ранее считавшиеся отдельными группировки - Moses-Staff (известная разрушительными атаками на израильский сектор) и Al-Qassam Cyber Fighters (специализирующаяся на DDoS) - на самом деле финансируются из одного бюджета и являются оперативными псевдонимами APT35. Это кардинально меняет картину атрибуции атак последних лет, указывая на более глубокое прямое вовлечение КСИР в разрушительные кибероперации против Израиля.
Таким образом, вне зависимости от окончательных выводов о формальном механизме передачи разведданных, утечка KittenBusters обнажила новую реальность. Сетевое проникновение в ключевые объекты инфраструктуры стран-мишеней не было случайным или оппортунистическим. Это была методичная, бюрократизированная и документированная подготовка театра военных действий. В условиях, когда традиционные средства сдерживания Ирана оказались ослаблены, киберпространство становится для него основным полем стратегического силового проецирования, а технический портрет угрозы, составленный на основе утекших данных, оказывается бесценным, но ограниченным по времени инструментом для защиты.
Индикаторы компрометации
IPv4
- 88.80.145.107
- 88.80.145.122
- 88.80.145.126
IPv4 Port Combinations
- 103.57.251.31:3512
