Ваш друг в WhatsApp может быть иранским агентом. Потом — скриншот каждые 15 секунд, кража паролей, почты, всех файлов

В ряде стран в последние месяцы фиксируется новая кампания скрытой слежки, нацеленной на структуры оборонного и государственного уровня. По наблюдениям Израильского национального цифрового агентства (INDA), речь идёт о длительной операции, проводимой группировкой APT42, связанной с Корпусом стражей исламской революции. Масштаб атаки оказался шире привычных сценариев: злоумышленники пытаются выйти не только на чиновников и сотрудников ведомств, но и на их близких, создавая дополнительное давление на основную цель.

Сентябрьские события получили обозначение SpearSpecter. Авторы анализа отмечают, что участники операции целенаправленно выстраивают доверительные контакты, переводя переписку в формат личного общения. В их арсенале приглашения на несуществующие конференции, предложения встретиться в офлайне и переписка от имени знакомых людей. Подмена личности часто продолжается неделями, пока не появляется удобный момент для передачи вредоносной ссылки.

Об APT42 известно с 2022 года, когда компания Mandiant описала пересечения группы с другими подразделениями, известными под названиями APT35, Charming Kitten, TA453 и Mint Sandstorm. Группировка давно практикует изощрённые схемы социального воздействия, а последние эпизоды это лишь подтвердили.

Летом 2025 года специалисты Check Point зафиксировали отдельную волну обращений к сотрудникам израильских технологических компаний, где злоумышленники представлялись руководителями фирм или исследователями. По данным INDA, эта серия атак и SpearSpecter проводились разными внутренними командами APT42.

Операция SpearSpecter гибко подстраивается под каждую цель. В одних случаях жертву перенаправляют на фальшивые страницы, где собираются учётные данные. В других атаки приводят к разворачиванию давно используемого вредоносного скрипта PowerShell TAMECAT, рассчитанного на длительное скрытое присутствие. Для его доставки задействуются поддельные сообщения в WhatsApp: жертве отправляют ссылку на якобы нужный документ, после перехода которой запускается цепочка перенаправлений.

В конечном итоге на устройство попадает размещённый через WebDAV ярлык LNK, замаскированный под PDF и активируемый через обработчик протокола search-ms. Этот файл связывается с поддоменом Cloudflare Workers, получает пакетный скрипт и загружает TAMECAT.

Сама программа использует несколько каналов управления, среди которых HTTPS, Telegram и Discord. Через Telegram управление осуществляется с помощью контролируемого оператором бота, который передаёт новые команды, извлекаемые с разных поддоменов Cloudflare Workers. В Discord применяются webhook-адреса: по ним отправляется информация о системе, а ответы содержат инструкции для заражённого устройства. Анализ аккаунтов на сервере Discord показал, что логика обработки команд основана на сообщениях от определённого пользователя, что даёт возможность направлять уникальные задачи каждому инфицированному хосту, при этом сохраняя общее рабочее пространство.

Функциональность TAMECAT охватывает сбор сведений о системе, выгрузку файлов по списку расширений, кражу данных из браузеров Google Chrome и Microsoft Edge, копирование почтовых ящиков Outlook и создание снимков экрана каждые 15 секунд. Передача сведений организована через HTTPS или FTP. Скрытность обеспечивается шифрованием служебных данных, запутыванием кода, использованием системных инструментов Windows и работой преимущественно в памяти компьютера.

Согласно выводам INDA, инфраструктура SpearSpecter сочетает элементы известных облачных платформ и собственных ресурсов операторов. Такое устройство позволяет легко адаптировать начальный этап атаки, сохранять контроль над заражёнными устройствами и незаметно отправлять собранные материалы, что делает кампанию особенно опасной для ведомств высокого уровня.