КАРТА РОСТА
КАРТА РОСТА
Поддельные VPN-сайты били по тем, кто больше всего нуждался в приватности после интернет-блокировок.
Фальшивый VPN в такой схеме работает не как средство обхода блокировок, а как ловушка для людей, которые пытаются спрятаться от слежки. Аналитики Insikt Group, исследовательского подразделения Recorded Future*, выявили новую инфраструктуру группировки TAG-182, через которую распространяли шпионский инструмент MarkiRAT среди иранцев внутри страны и за рубежом. Приманки выглядели максимально привычно для аудитории под давлением цензуры, бесплатные VPN, медиаплееры и приложения для доступа к заблокированным сервисам.
По оценке Recorded Future, TAG-182 работает в интересах иранской системы кибернаблюдения и нацеливается прежде всего на фарсиязычных пользователей, оппозиционные круги, активистов и людей, которых власти могут считать иностранными пособниками. Кампания продолжилась после частичного восстановления доступа к глобальному интернету в Иране 26 мая 2026 года, когда силовые структуры, по версии исследователей, снова усилили цифровой контроль над обществом.
Схема заражения строилась вокруг сайтов и приложений с названиями вроде YESHICA YEPlayer, YEMPlayer, Pis2ray VPN и StarVPN. Часть образцов маскировалась под медиаплееры, часть под VPN-сервисы. В одном случае сайт starvpn.pis2ray.online выдавал себя за сервис, связанный со Starlink, и подталкивал пользователей скачать поддельное приложение. Отдельные домены включали в название слова google, microsoft, instagram и facebook, а один из адресов использовал опечатку microsotf, чтобы выглядеть похожим на Microsoft при беглом взгляде.
После перехода по ссылке жертва получала архив или установщик. В отчете упоминаются файлы YEPlayer.dll, YEMPlayer.msi, Pis2rayVPN.msi и Pis2rayN.dll, которые связывались с управляющим сервером 212.83.61.198. В одном из сценариев начальный запрос шел к vip.yeplayer.store и загружал архив YEPlayer.rar, причем вредоносная выдача продолжалась даже при внешней ошибке на странице. После запуска YEPlayer.exe программа отправляла данные на домен microsotf.comi-site.website через POST-запрос к серверному скрипту uploadx.php.
MarkiRAT интересен не только свежей инфраструктурой, но и связями с прежними иранскими операциями. Recorded Future нашла совпадения с вариантами, которые ранее относили к группе Ferocious Kitten. Среди общих признаков названы команды Background Intelligent Transfer Service, встроенного механизма Windows для фоновой передачи файлов. Такой прием позволяет вредоносной программе скачивать и передавать данные средствами самой операционной системы, что усложняет обнаружение. Kaspersky еще в 2021 году описывала MarkiRAT как инструмент, способный записывать нажатия клавиш, читать буфер обмена, загружать и выгружать файлы, а также выполнять команды на зараженном компьютере.
Исследователи не утверждают, что TAG-182 и Ferocious Kitten представляют одну и ту же организацию. Совпадения в инфраструктуре, коде и приемах атаки говорят скорее о вероятной операционной связи или общем наборе инструментов. Recorded Future отдельно подчеркивает, что имеющихся данных пока недостаточно для уверенного вывода о едином руководстве. При этом TAG-182 почти наверняка входит в более широкий круг проиранских групп, которые помогают властям отслеживать гражданских, активистов и антиправительственные сети.
Главная опасность кампании в выборе приманки. Люди, которые ищут VPN после блокировок и отключений интернета, часто действуют быстро, доверяют ссылкам из соцсетей и ставят приложения не из официальных магазинов. TAG-182 использовала именно этот момент. Под видом инструмента для защиты приватности жертве предлагали программу, которая открывала злоумышленникам канал наблюдения.
Recorded Future ожидает, что подобные операции продолжатся. После восстановления части интернет-доступа иранские силовые структуры получили больше поводов отслеживать цифровую активность, особенно вокруг протестов, зарубежных контактов и обхода цензуры. На практике расследование снова показывает старую проблему в новой политической обертке. Самым опасным приложением для человека под наблюдением может оказаться именно тот VPN, которому пользователь доверил собственную безопасность.
* Recorded Future признана нежелательной организацией в России.