Утечка данных раскрывает бюрократическую машину кибершпионажа Ирана: APT35 и Moses Staff оказались двумя сторонами одной монеты

Утечка данных, получившая название «Эпизод 4», кардинально меняет представление о внутренней кухне иранских государственных хакерских группировок. Файлы, опубликованные неизвестным источником, обнажают не техническое мастерство, а рутинную бюрократическую машину, стоящую за операциями цифрового шпионажа. Угроза APT35 (также известная как Charming Kitten) теперь видится не как сборище хакеров, а как государственный департамент, где за каждым вредоносным действием стоит счёт-фактура, криптоплатёж и отчётность в электронных таблицах.

Описание

Документы раскрывают три взаимосвязанных слоя операционной деятельности. Первый слой - это управление инфраструктурой. Файл "0-SERVICE-Service.csv" служит операционным реестром, связывающим около 170 доменов с регистраторами, включая NameSilo и Namecheap. В нём же содержатся более 50 учётных записей ProtonMail и свыше 80 паролей в открытом виде. Каждая запись сопровождается пометками о жизненном цикле, ценами в долларах и евро, что превращает документ в обычную таблицу закупок, только товаром в ней выступают инструменты для вторжения.

Второй слой - финансирование. Файл "0-SERVICE-payment BTC.csv" содержит 55 записей о транзакциях с октября 2023 по декабрь 2024 года. Средние платежи составляют около 56 долларов или 0.0019 BTC, что позволяет оставаться ниже радаров систем финансового контроля. Криптовалютные платежи проходили через платёжный шлюз Cryptomus и привязывались к внутренним номерам заявок, создавая замкнутый цикл учёта. Этот финансовый след демонстрирует, как санкции вынудили Иран создать параллельную микроэкономику киберопераций.

Третий слой - сетевая инфраструктура. Файл "1-NET-Sheet1.csv" содержит IP-адреса и подсети с персидскими пометками о подключении и местоположении. Эти данные соответствуют живым серверам у провайдеров EDIS и Impreza, арендованным под теми же псевдонимами, что фигурируют в счетах. В совокупности три документа описывают промышленный конвейер: заявка на актив, его оплата и развёртывание в виде работающего хоста. Таким образом, ремесло здесь - это не импровизация, а администрирование.

Moses Staff: пропагандистский фасад одного бюрократического аппарата

Наиболее шокирующим открытием утечки стало доказательство прямой связи между APT35 и группировкой Moses Staff. Последняя годами позиционировалась как независимое хактивистское движение, специализирующееся на утечках данных израильских целей и использовании деструктивного ПО (ransomware, программа-вымогатель). Однако в реестре "0-SERVICE-Service.csv" обнаружена запись о домене "moses-staff[.]io".

Это не стилистическое совпадение, а инфраструктурное единство. Одни и те же учётные записи ProtonMail (например, "bbmovement@protonmail[.]com"), регистраторы и платёжный шлюз Cryptomus использовались как для операций APT35, так и для поддержки деятельности Moses Staff. Идеологическая маска хактивистов обрушивается, обнажая административный скелет государственной кибергруппировки. Кампании Moses Staff были забюджетированы, запланированы и задокументированы с той же тщательностью, что и любой государственный проект. За каждой публичной утечкой стоит клерк, утвердивший счёт, и система, измеряющая операционный темп в евро, а не в идеологии.

Тактика и цели: бюрократическая точность вместо хакерской изобретательности

Операционная модель, выявленная в документах, отличается шаблонностью. Каждый цикл начинается с создания одноразового псевдонима и почты ProtonMail. Затем регистрируется домен, арендуется дешёвый виртуальный сервер (VPS) у европейского реселлера, оплата проводится криптовалютой через Cryptomus, а все данные заносятся в общий реестр. Псевдонимы, такие как «Maja Bosman» или «Levis Cross», используются лишь однажды и затем выбрасываются, что создаёт видимость разрозненных действий для внешних наблюдателей.

Финансовая сторона также подчинена логике минимизации рисков. Микроплатежи в криптовалюте, обычно около 12-18 евро, не привлекают внимания систем AML. Хостинг арендуется у посредников в Кипре, Нидерландах и Центральной Европе. В результате иранский кибераппарат превратил ограничения, наложенные санкциями, в операционную дисциплину, построив устойчивую серую логистику для цифрового шпионажа.

Выводы: кибермощь держится на таблицах, а не на вредоносном коде

Утечка «Эпизод 4» имеет стратегическое значение. Она смещает фокус с передовых вредоносных программ (payload, полезная нагрузка) на скучные, но критически важные системы обеспечения: финансирование, логистику и администрирование. Иранские кибероперации оказались не плодом гениальной импровизации, а результатом институциональной настойчивости и бюрократической адаптации.

Кибервойна в иранском исполнении - это спектакль в двух актах. На авансцене - яростные утечки Moses Staff и фишинговые атаки APT35. За кулисами - монотонная работа администраторов, сверяющих счета, продлевающих хостинг и вносящих данные в электронные таблицы. Эти документы доказывают, что реальная сила государственных хакеров заключается не только в умении писать эксплойты, но и в умении вести бухгалтерию, обеспечивающую их долгосрочную работу. Электронная таблица, а не вредоносный код, стала тем инструментом, который держит иранские операции в сети.