Смайлики в коде = потеря гостайны. Иран нашел креативный способ шпионить за чиновниками Ирака
Новый вирус GHOSTFORM запускается в памяти компьютера и скрывается от антивирусов.
Хакеры, предположительно связанные с Ираном, развернули новую кампанию против иракских чиновников и использовали для атак сразу несколько ранее неизвестных вредоносных программ. В ходе операции злоумышленники маскировались под Министерство иностранных дел Ирака и распространяли зараженные файлы, которые выглядели как служебные документы.
Специалисты компании Zscaler обнаружили активность в январе 2026 года. Кампанию связали с группировкой, получившей условное название Dust Specter. По оценке специалистов, инструменты и методы работы совпадают с приемами других иранских хакерских групп.
Злоумышленники применяли два разных сценария атаки. В первом случае использовали цепочку из нескольких вредоносных программ: SPLITDROP, TWINTASK и TWINTALK. Во втором сценарии работала другая программа под названием GHOSTFORM, которая объединяет функции всех компонентов в одном файле.
Первая схема начиналась с архива RAR под названием mofa-Network-code.rar, защищенного паролем. Внутри находился файл, замаскированный под приложение WinRAR. После запуска программа SPLITDROP показывала окно ввода пароля для распаковки архива. Пока пользователь взаимодействовал с окном, вредоносная программа расшифровывала скрытые файлы и сохраняла их в каталог C:\ProgramData\PolGuid.
Далее запускался легитимный медиаплеер VLC. Вместе с ним загружалась поддельная библиотека libvlc.dll. Этот компонент получил название TWINTASK. Модуль постоянно проверял файл с командами и каждые 15 секунд пытался получить новые инструкции. Полученные команды запускались через PowerShell, а результаты сохранялись в отдельный файл.
Чтобы закрепиться в системе, вредоносная программа добавляла записи в реестр Windows и обеспечивала автоматический запуск после перезагрузки компьютера. В той же цепочке появлялся еще один компонент – TWINTALK. Он работал как координатор связи с управляющим сервером.
TWINTALK регулярно связывался с сервером управления и получал команды. Запросы маскировались под обычный трафик браузера и использовали случайные адреса. Сервер также проверял географию подключения и строку User-Agent, чтобы отсеивать системы анализа вредоносного кода. Команды позволяли выполнять код, загружать файлы или отправлять данные с зараженного компьютера.
Во второй схеме атаки злоумышленники использовали вредоносную программу GHOSTFORM. Она объединяет весь функционал предыдущей цепочки в одном исполняемом файле и выполняет команды прямо в памяти, почти не оставляя следов на диске.
GHOSTFORM применяет необычный способ задержки запуска. Программа создает невидимое окно Windows с минимальным размером и прозрачностью. После заданного таймера окно закрывается, и вредоносный код продолжает работу. Такой прием помогает обходить средства защиты, которые пытаются выявить подозрительную активность сразу после запуска программы.
Для обмана жертв злоумышленники использовали страницу Google Forms. Опрос на арабском языке выдавал себя за официальную анкету Министерства иностранных дел Ирака. Ссылку на форму программа открывала автоматически после запуска.
Анализ кода показал еще одну необычную деталь. В исходных фрагментах вредоносных программ встречаются эмодзи и необычные строки Unicode. Такой стиль кода может указывать на использование генеративных систем искусственного интеллекта при разработке вредоносного ПО.
Специалисты также нашли следы другой атаки той же группировки. В 2025 году домен meetingapp.site использовали для поддельного приглашения на встречу Cisco Webex. Жертве предлагали скачать программу для видеоконференции и выполнить инструкцию для получения идентификатора встречи. На деле инструкция запускала команду PowerShell, которая загружала вредоносный файл и добавляла его в планировщик заданий Windows для регулярного запуска.
Атрибуцию кампании связывают с Dust Specter с умеренной уверенностью. На связь с иранскими хакерами указывают цели атаки, используемые инструменты и характерные приемы. В частности, злоумышленники применяли легкие бэкдоры на платформе .NET, ограниченный набор команд управления и скрывали идентификаторы зараженных систем внутри заголовков HTTP-запросов.