0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

«Мстители: Финал» (иранская версия). Зачем группировке APT Iran понадобился срочный ребрендинг?

leer en español

APT Iran CyberAv3ngers КСИР TOR Black Industry OT-инфраструктура киберугрозы
«Мстители: Финал» (иранская версия). Зачем группировке APT Iran понадобился срочный ребрендинг?
APT Iran CyberAv3ngers КСИР TOR Black Industry OT-инфраструктура киберугрозы

Иногда, чтобы нанести удар, нужно сначала просто раствориться в тени.

image

В теневом сегменте сети выявлен новый наступательный фреймворк для атак на промышленную и военную инфраструктуру, который связывают с иранскими структурами. Инструмент появился на платформе, доступной через сеть TOR, и уже привлёк внимание профильных команд из-за сочетания технической проработки, политического контекста и связей с группами, ассоциированными с государственными структурами Ирана.

Продвижением решения занимался канал «APT Iran», связанный с экосистемой Black Industry. Фреймворк предлагался к покупке через подпольный портал «Black Market Cartel», однако ссылка на сделку оказалась неработоспособной. Незадолго до публикации представители APT Iran заявляли о подготовке демонстрационного релиза, в котором делался акцент на уязвимости инфраструктуры США. Площадка позиционировала продукт как инструмент для атак на критически важные, промышленные и военные системы управления.

APT Iran считается тесно связанным с группировкой CyberAv3ngers, которую многие источники называют фактическим ребрендингом той же структуры. В свою очередь CyberAv3ngers, по данным американских спецслужб, взаимодействует с киберподразделением КСИР. Ряд источников указывает, что APT Iran может быть внутренним подразделением этого командования. 26 января 2026 года Telegram-канал «APT Iran» был удалён вместе с большей частью упоминаний Black Industry, после чего появился новый канал под названием «Cyber4vengers».

Опубликованные материалы описывают платформу как комплекс для анализа рисков, мониторинга и эксплуатации промышленных и военных сетей управления. Среди заявленных функций — сканирование сетей, работа с промышленными протоколами, анализ уязвимостей, модули перехвата и повторной отправки трафика, поддержка Modbus, S7comm, Ethernet/IP и OPC UA, а также инструменты распознавания IP-камер крупных производителей.

Отдельно упоминаются возможности скрытного проникновения без цифровых следов, работа с изолированными системами и анализ критичности целей не только по сетевым портам, но и по их роли в инфраструктуре.

Также анонсированы дополнительные модули, доступ к которым якобы требует внутреннего уровня доверия. Они предполагают внедрение закладок на уровне прошивок промышленных контроллеров, манипуляцию данными в системах диспетчерского управления и управление элементами энергосетей, включая влияние на распределение нагрузки и работу оборудования.

Авторы отчёта подчёркивают, что нельзя полностью исключать вариант приманки для выявления потенциальных покупателей, однако совокупность факторов — размещение в onion-сети, детализация описаний, связи с APT Iran и последующее исчезновение ресурсов — указывает на реальное существование инструмента.

По оценке исследователей, проект отражает более высокий уровень организации и технических возможностей структур, связанных с Ираном. Предполагаемые цели распространения фреймворка могут выходить за рамки финансовой выгоды и быть связаны с сокрытием атрибуции атак и более широкими дестабилизационными сценариями.