Иранские хакеры прикинулись вашими коллегами. Будьте осторожнее, когда отвечаете в WhatsApp

Киберпространство давно стало ещё одним фронтом ближневосточного конфликта. На фоне очередного обострения вокруг Ирана специалисты Check Point Research напомнили, какие иранские группировки уже действуют в сети и какими методами пользуются.

По данным компании, вокруг государственных структур страны сформировалась целая экосистема хакерских кластеров. Часть связана с Корпусом стражей исламской революции и Министерством разведки и безопасности Ирана, часть действует под прикрытием «хактивистов». Кампании включают шпионаж, атаки на инфраструктуру, уничтожение данных и информационные операции, когда взломы сопровождаются публикациями украденных материалов и массовым распространением сообщений в сети.

Среди наиболее заметных участников специалисты называют группировку Cotton Sandstorm, известную также под именами Emennet Pasargad и MarnanBridge. Деятельность связывают с Корпусом стражей исламской революции. Группа активно проводит операции влияния и быстро реагирует на политические события в регионе. В арсенале Cotton Sandstorm – взлом сайтов, DDoS-атаки, захват почтовых и пользовательских учётных записей, кража данных и публикация утечек. Украденные материалы затем распространяют через поддельные аккаунты и выдачу себя за других людей.

За последние годы операции вышли за пределы Израиля. Среди эпизодов специалисты приводят взлом американского сервиса потокового телевидения IPTV, через который злоумышленники транслировали сгенерированные искусственным интеллектом сообщения о войне в секторе Газа для зрителей в ОАЭ. Группа также регулярно атаковала государственные структуры Бахрейна и сопровождала кампании антимонархической пропагандой.

В недавних атаках Cotton Sandstorm применяла вредоносную программу WezRat. Зловред распространяется через фишинговые письма, маскирующиеся под срочные обновления программ. WezRat крадёт данные пользователей и позволяет разворачивать дополнительные инструменты. В ряде случаев после взлома злоумышленники запускали шифровальщик WhiteLock против израильских организаций. На следующий день после начала нынешнего обострения группа также возродила старый сетевой образ Altoufan Team. Под этим названием злоумышленники уже публикуют заявления о новых атаках против целей в Бахрейне.

Ещё один активный кластер специалисты называют Educated Manticore. Группа связана с разведывательным подразделением Корпуса стражей исламской революции и пересекается с деятельностью APT35 и APT42, известными как Charming Kitten.

Основная тактика строится вокруг личного доверия. Злоумышленники выдают себя за знакомых или коллег и устанавливают контакт с журналистами, учёными, аналитиками и другими публичными фигурами. Целью становятся люди, имеющие доступ к служебной переписке, внутренним документам и важным контактам. После установления контакта жертву направляют на фишинговые страницы, имитирующие WhatsApp, Microsoft Teams или Google Meet. С помощью таких страниц злоумышленники похищают пароли и сеансовые токены, получают доступ к почте и документам. В некоторых случаях операции позволяют отслеживать местоположение жертвы. Недавние кампании затронули активистов и ряд известных людей на Ближнем Востоке и в США.

С группировкой MuddyWater специалисты связывают Министерство разведки и безопасности Ирана. За годы активности злоумышленники провели множество операций шпионажа против государственных организаций, телекоммуникационных компаний, энергетического сектора и бизнеса на Ближнем Востоке. Группа часто проникает в обычные корпоративные сети и надолго закрепляется внутри инфраструктуры, собирая данные. Для доступа злоумышленники нередко используют инструменты удалённого администрирования и мониторинга, распространяемые через легальные сервисы обмена файлами. Фишинговые рассылки могут уходить сразу сотням сотрудников компании.

При атаках на более важные цели MuddyWater применяет собственные вредоносные программы и временные инструменты, которые быстро меняет. При этом базовая тактика почти не меняется: злоумышленники используют встроенные средства Windows вроде PowerShell и WMI, крадут учётные данные и перемещаются внутри сети, нередко захватывая корпоративную почту и рассылая новые фишинговые письма уже от имени сотрудников компании.

Отдельное внимание специалисты уделяют группе Handala, которая появилась в конце 2023 года и позиционирует себя как пропалестинское хактивистское движение. По оценке Check Point Research, образ Handala служит одной из сетевых масок кластера Void Manticore, связанного с Министерством разведки и безопасности Ирана. Основная задача кампаний Handala – психологическое давление и репутационный ущерб.

Злоумышленники взламывают уязвимые системы, похищают данные и публикуют материалы в наиболее чувствительные моменты. Большинство атак направлено против израильских организаций, хотя иногда цели появляются и в других странах. Последние кампании отличаются оппортунистическим характером. Злоумышленники ищут слабые места у поставщиков ИТ-услуг и через такие компании пытаются получить доступ к клиентам. С января специалисты также фиксировали активность Handala с IP-адресов спутниковой сети Starlink, когда злоумышленники проверяли внешние приложения на ошибки конфигурации и слабые пароли.

Ещё одна группа, связанная с иранскими структурами, носит название Agrius. Кампании известны разрушительными атаками в регионе с 2020 года. В большинстве случаев злоумышленники используют программы-уничтожители данных и операции, которые маскируют под атаки вымогателей. Группа часто начинает проникновение через уязвимые веб-серверы, доступные из интернета.

После взлома злоумышленники устанавливают веб-оболочку ASPX и применяют встроенные системные инструменты для разведки и перемещения по сети. Во время двенадцатидневного конфликта между Израилем и Ираном в июне 2025 года специалисты заметили инфраструктуру Agrius, которая сканировала уязвимые камеры видеонаблюдения в Израиле. Такие устройства могли использовать для наблюдения за последствиями атак.

По оценке Check Point Research, большинство иранских группировок действует по похожей схеме. Злоумышленники активно используют фишинг, легальные инструменты администрирования и уязвимости во внешних сервисах.

Компании и государственные организации могут снизить риск атак, если внимательно следят за подозрительными входами в учётные записи, ограничивают доступ к системам, обновляют интернет-сервисы и не устанавливают программы из непроверенных источников. На фоне текущего обострения подобные меры позволяют вовремя заметить проникновение и не допустить разрушительных последствий.