В октябре 2025 года на GitHub произошла утечка внутренних документов APT35, также известной как Charming Kitten. Анализ материалов выявил деятельность не хаотичной хакерской группировки, а строго регламентированного киберподразделения, работающего по квотам внутри бюрократической военной цепи команд. Документация напоминает внутренние административные отчеты, ежемесячные оценки производительности, подписанные руководителями обзоры и показатели KPI (ключевые показатели эффективности), ориентированные на измеримые результаты, а не на случайные операции.
Описание
Операторы регулярно подают ежемесячные отчеты о производительности, где перечисляются отработанные часы, выполненные задачи, показатели успеха фишинговых атак и метрики эксплуатации. Руководители затем агрегируют эти данные в ежедневные и общекампанейские отчеты, фиксируя полученные учетные данные, время пребывания в системе и извлечение особо ценной разведки. Специализированные команды четко разделены: разработка эксплойтов, повторное использование учетных данных, фишинговые кампании в стиле HERV (Human Engineering and Remote Validation) и мониторинг скомпрометированных почтовых ящиков для поддержания сбора HUMINT (разведки из человеческих источников). Бумажная работа и логи демонстрируют постановку задач, передачу и контроль, создавая рабочий процесс, предназначенный для повторяемого сбора информации.
С мая 2022 года группа провела региональную кампанию по эксплуатации уязвимостей в Microsoft Exchange, сочетая широкую разведку с точными методами пост-эксплуатации. Последовательность операций последовательна: создание приоритетных списков целей, фокусирующихся на дипломатических, правительственных и корпоративных сетях; проведение атак через ProxyShell, Autodiscover и EWS; проверка веб-шеллов и извлечение глобальных списков адресов; использование собранных контактов для целевого фишинга HERV; поддержание постоянного сбора разведки через мониторинг почтовых ящиков и повторное использование учетных данных. Внутренние логи, дампы учетных данных и шаблоны KPI подтверждают эту сквозную методику и раскрывают преднамеренные, повторяемые процессы.
В совокупности документы показывают бюрократизированный аппарат сбора разведки со структурированными задачами, измеримыми результатами, надзором руководства и специализированными командами, сфокусированными на системном доступе, устойчивом сборе и полезной разведывательной отдаче.
Целевые страны и инфраструктура
Кампании были нацелены на Турцию, Ливан, Кувейт, Саудовскую Аравию, Южную Корею, а также на внутренние иранские цели. Секторный отбор неоднократно благоприятствовал точкам сбора высокой ценности: шлюзам многофакторной аутентификации, таможенным агентствам, телеком-операторам, энергетическим компаниям и цепочкам поставок. Внутренние отчеты связывают виртуальный доступ с физическим рабочим местом: журнал входа/выхода подтверждает посещаемость операторов и поддерживает картину централизованной постановки задач и надзора.
Сетевые индикаторы включают IP-адреса, связанные с телекоммуникационными компаниями в Турции и Саудовской Аравии, хостами в Южной Корее и Кувейте, а также внутренние иранские сети, используемые для стадиирования операций. Логи доступа демонстрируют автоматизированную разведку и попытки сбора учетных данных, включая зондирование RDP, попытки извлечения конфигурационных файлов и перечисление WordPress.
Инструментарий и методы
Утечка раскрыла зрелый набор инструментов, оптимизированный для масштабных операций. Основное внимание уделяется эксплуатации уязвимостей в Microsoft Exchange через цепочки ProxyShell и EWS для извлечения содержимого почтовых ящиков и глобальных списков адресов. Эти артефакты служат одновременно разведданными и инфраструктурой: списки адресов питают фишинговые рассылки, а почтовые ящики становятся датчиками HUMINT.
Устойчивость обеспечивается за счет кражи учетных данных. Инструменты дампа памяти, такие как Mimikatz, автоматическое повторное использование токенов и злоупотребление делегированными потоками OAuth используются для преобразования первоначального доступа в устойчивые точки опоры. Социальная инженерия и кража учетных данных обрабатываются зрелым набором инструментов HERV, который включает настраиваемые сборщики учетных данных и механизмы кражи токенов.
Организационная структура и персонал
Утеченные материалы обнажают структурированную командную архитектуру, а не децентрализованное хакерское сообщество. Иерархия простирается от подразделения координации кампаний, отвечающего за ежедневные директивы и квоты, до операционных ячеек, специализирующихся на разработке эксплойтов, сборе учетных данных, фишинговых операциях и мониторинге почтовых ящиков. Надзор включает стандартизированные таблицы KPI, измеряющие такие метрики, как выполненные задачи, полученные учетные данные и время пребывания в системе.
Физическая централизация подтверждается журналами входа/выхода, которые коррелируют с временными метками кибератак, подразумевая синхронизированные смены и контролируемые окна выполнения. Бюрократический тон документов предполагает военный ритм подотчетности: операторы подают отчеты, руководители проверяют, аналитики эскалируют, а координаторы докладывают наверх командованию IRGC IO (Разведывательной организации Корпуса стражей исламской революции).
Атрибуция и последствия
Анализ операционных данных, подтверждающей документации и восстановленных артефактов убедительно указывает на то, что кампании проводились элементом IRGC IO, конкретно кластером, отслеживаемым как APT35. Соответствие между этими материалами и известным почерком Charming Kitten является unmistakable. Бюрократическая структура, наблюдаемая в документах на персидском языке, предоставляет дополнительное подтверждение государственного управления.
Стратегически операции служат более широким целям Тегерана: поддержание осведомленности о региональных противниках, оказание влияния на геополитические переговоры и мониторинг внутреннего инакомыслия. Утечка превращает аналитические подозрения в доказательства государственного предприятия, централизованной системы, интегрирующей SIGINT (радиоэлектронную разведку), психологические операции и техническую разведку под военным надзором. Эти файлы знаменуют переломный момент в понимании кибераппарата Ирана: профессионализированной разведывательной службы, институционализировавшей цифровое поле боя.
Индикаторы компрометации
IPv4
- 1.235.222.140
- 103.57.251.153
- 109.125.132.66
- 128.199.237.132
- 212.12.178.178
- 212.175.168.58
- 83.96.77.227
IPv4 Port Combinations
- 103.57.251.153:443
SHA1
- 2d5b8da0d0719e6f8212497d7e34d5f1b1fa6776
- 4d6bf3834e9afb8e3c3861bf2ad64a68d9c7d870
- 544bf4f9e5fdb4d35987b4c25f537213ce3c926a
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule RAT_2Ac2_stager_path { meta: description = "Detect reference to known RAT-2Ac2 stager path" source = "session_uploads" strings: $s1 = "C:\\ProgramData\\Microsoft\\diagnostic\\vmware-tools.exe" nocase $s2 = "C:\\ProgramData\\Microsoft\\diagnostic\\svchost.bat" nocase condition: any of ($s*) } |
