«Работа мечты» за 200 баксов. Иранские хакеры взламывали мир практически за еду

leer en español

Charming Kitten APT35 КСИР Кашеф МАГАТЭ Нариман Гариб Аббас Рахрови
«Работа мечты» за 200 баксов. Иранские хакеры взламывали мир практически за еду
Charming Kitten APT35 КСИР Кашеф МАГАТЭ Нариман Гариб Аббас Рахрови

Зарплаты, явки и «женский батальон». В сеть утекли списки и счета иранских хакеров из Charming Kitten.

image

Осенью 2025 года в открытом доступе начали появляться файлы, которые приписывают иранской хакерской группировке APT35, также известной как Charming Kitten. По той серии публикаций сначала стало ясно, как устроено подразделение, какие цели оно выбирает и через какую инфраструктуру ведёт операции, а также какие компании и люди могут стоять за обеспечением этой работы.

Теперь тот же массив дополнили новые материалы, которые переводят разговор из мира индикаторов и доменов в куда более «бытовой» слой — деньги, внутренние базы и документы повышенной секретности. Автор разбора, Нариман Гариб, утверждает, что в свежей части данных обнаружились три ключевых блока.

Первый блок — ведомости выплат и финансовые таблицы по двум группам операторов: женской Aqiq («Акик») и мужской Pelak1 («Пелак1»). В документах указаны имена, номера банковских счетов и суммы за апрель-май 2025 года. Разброс заметный: у части сотрудников выплаты держатся на уровне примерно 150-220 долларов в месяц, у других суммы выглядят минимальными, что может указывать на разный статус или нерегулярное участие. Утечка реквизитов в таких случаях важна не только для атрибуции, но и для поиска платёжных цепочек и посредников, через которых могла идти оплата.

Второй блок — дополнительная видеозапись системы «Кашеф», которую Гариб ранее описывал как платформу наблюдения. Судя по кадрам, она сводит в единые карточки данные из разных направлений внутри разведструктур КСИР и позволяет искать сразу по нескольким ведомственным базам. В интерфейсе видны базы по зарубежным поездкам, двойному гражданству, обучению за границей, пересечению границы и посещениям дипломатических объектов в Тегеране.

Для таких визитов фиксируются время входа и выхода, сведения о транспорте и номерных знаках, а также служебные пометки. Система хранит и расширенные профили: паспортные данные, контакты, профессию, образование, семейные связи и религиозную принадлежность с делением на шиитов и суннитов, что указывает на возможность профилирования по конфессиональному признаку.

Третий эпизод добавляет истории глубину в десятки лет. На личном компьютере руководителя «Департамента 40» Аббаса Рахрови, фигурировавшего в предыдущих материалах, найден секретный документ 2004 года — письмо Министерства разведки Ирана, адресованное высшему военному руководству. В нём говорится о получении конфиденциальных материалов МАГАТЭ по программе тяжёлой воды и объекту в Араке: внутреннего технического отчёта и перечня вопросов для инспекции в мае 2004 года. Среди авторов отчёта указан Олли Хейнонен, который позже занимал руководящую должность в МАГАТЭ по линии гарантий и был одной из ключевых фигур в проверках иранской ядерной программы.

Гариб связывает эту находку с тем, что имя Хейнонена ранее встречалось в материалах «Департамента 40» как приоритетного объекта интереса. На письме также заметны рукописные пометки с именем Ахмада Вахиди и упоминанием института Мохсена Фахризаде, что добавляет контекст к тому, как внутри Ирана циркулировали сведения по теме ядерного надзора.

В сумме новая часть массива показывает, насколько плотно кибероперации переплетены с более широкими задачами разведки: рядом с инструментами и целями оказываются финансовые следы, интерфейсы внутренних систем и документы, которые не должны были покидать закрытые контуры.