Зачем писать свои вирусы, если можно купить готовые? Иранская разведка осваивает бюджетный шпионаж

Иранские структуры всё активнее используют инструменты и инфраструктуру киберпреступного мира для проведения операций, связанных с государственными задачами. Такой подход помогает расширять технические возможности атак и одновременно усложняет поиск настоящего организатора. Наиболее заметна новая тенденция в деятельности групп, связанных с Министерством разведки и безопасности Ирана.

Специалисты Check Point Research обратили внимание на изменение тактики иранских операторов. Ранее атаки нередко маскировали под обычную киберпреступность или действия хактивистов. Чаще всего злоумышленники выдавали операции за атаки программ-вымогателей. Теперь ситуация меняется. Отдельные группы начали напрямую пользоваться инфраструктурой преступных сервисов — вредоносным программным обеспечением, подпольными маркетплейсами и партнёрскими схемами распространения вредоносного софта.

Подобная модель напоминает подход, который иранские спецслужбы давно применяют в офлайн-операциях. В разных странах разведка сотрудничала с криминальными сетями для слежки, похищений и нападений на политических противников. Американское Министерство финансов связывало одну из таких схем с наркоторговцем Наджи Ибрагимом Шарифи Зиндаштти. По данным американских властей, его сеть действовала по поручению иранской разведки и преследовала диссидентов. Похожие выводы сделали и шведские спецслужбы, которые заявляли об использовании криминальных группировок для атак на противников режима.

Похожая логика постепенно переносится в киберпространство. Среди наиболее активных групп специалисты выделяют Void Manticore, известную также под псевдонимом Handala Hack. Операторы использовали различные маски хактивистов и проводили операции против Албании и Израиля. В нескольких кампаниях злоумышленники применяли коммерческий инструмент для кражи данных Rhadamanthys, который продаётся на подпольных форумах. Вредоносную программу распространяли через фишинговые письма, выдавая их за сообщения израильского национального управления кибербезопасности. Заражённые файлы маскировали под обновления программного обеспечения F5.

Ещё один участник подобных операций — группа MuddyWater, которую американские власти связывают с иранским Министерством разведки. Операторы на протяжении многих лет проводят кампании кибершпионажа на Ближнем Востоке, атакуя государственные структуры и компании в телекоммуникационной, оборонной и энергетической сферах.

Недавний анализ показал пересечения деятельности MuddyWater с инфраструктурой киберпреступников. Одним из примеров стал ботнет Tsundere, обнаруженный в конце 2025 года. Система использует скрипты Node.js и JavaScript для выполнения команд на заражённых компьютерах. При обнаружении среды Node.js вредоносный код переключается на альтернативный механизм через платформу Deno. В такой конфигурации вредонос получил обозначение DinDoor.

Следы MuddyWater также обнаружили в цепочках заражения, где использовался загрузчик FakeSet. Программа распространяла другой вредоносный инструмент — CastleLoader, который предлагается по модели «вредоносное ПО как услуга». Анализ показал пересечения в сертификатах цифровой подписи, применявшихся в нескольких вредоносных семействах. Вероятнее всего, разные участники получили такие сертификаты из одного источника.

Связь между государственными операторами и криминальной инфраструктурой проявилась и в атаке на медицинский центр Шамир в Израиле осенью 2025 года. Первоначально инцидент описали как атаку программы-вымогателя Qilin. Позже израильские власти пришли к выводу, что за операцией стояли иранские структуры. Сервис Qilin работает по партнёрской модели и предоставляет инструменты внешним участникам, которые проводят взломы.

Специалисты считают подобные операции частью более широкой кампании против израильских медицинских учреждений, которая продолжается с конца 2023 года. Использование инфраструктуры киберпреступников даёт операторам сразу несколько преимуществ — доступ к готовым инструментам, устойчивую инфраструктуру и дополнительный уровень маскировки.

Анализ последних атак показывает заметное изменение стратегии. Киберпреступный мир для отдельных иранских операторов перестал быть только прикрытием. Криминальная экосистема постепенно превращается в полноценный ресурс для проведения государственных киберопераций.