نفوذ سایبری ایران به اندیشکده‌های آمریکایی

به گزارش هکرنیوز، یک خوشه فعالیت تهدیدآمیز که قبلاً مشاهده نشده و با نام رمزUNK_SmudgedSerpent شناخته می‌شود، مسئول مجموعه‌ای از حملات سایبری علیه دانشگاهیان و کارشناسان سیاست خارجی، بین ماه‌های ژوئن تا اوت ۲۰۲۵ شناخته شده است. این حملات، همزمان با اوج گرفتن تنش‌های ژئوپلیتیکی میان ایران و اسرائیل رخ داده است.

ساهر نعمان، پژوهشگر امنیت شرکت پروف‌پوینت (Proofpoint)، در گزارش جدیدی که با هکرنیوز به اشتراک گذاشته، اعلام کرد: «UNK_SmudgedSerpent از طعمه‌های سیاسی داخلی، از جمله موضوعاتی همچون تغییرات اجتماعی در ایران و تحقیق درباره موضوعات نظامی استفاده کرده است.»

این شرکت امنیتی سازمانی اعلام کرد که این کارزار، از نظر تاکتیکی شباهت‌هایی با حملات پیشین گروه‌های جاسوسی سایبری ایرانی، از جمله از TA455 (معروف به Smoke Sandstorm یا UNC1549)، TA453 (معروف به Charming Kitten یا Mint Sandstorm) وTA450 (معروف به Mango Sandstorm یا MuddyWater) دارد.

پیام‌های ایمیلی مورد استفاده در این کارزار، تمامی نشانه‌های یک حمله کلاسیک Charming Kitten  را دارند؛ جایی که عاملان تهدید، ابتدا با قربانیان بالقوه از طریق گفت‌وگوهای بی‌ضرر ارتباط برقرار می‌کنند و سپس در تلاش هستند اطلاعات ورود (اعتبارنامه‌ها) آنها را فریبکارانه به دست آورند.

در برخی موارد، در ایمیل‌ها، نشانی‌های اینترنتی مخرب یافت شده که قربانی را به دانلود یک فایل نصب‌کننده MSI ترغیب می‌کند؛ فایلی که ظاهراً به‌صورت برنامه Microsoft Teams نمایش داده می‌شود اما در واقع نرم‌افزار (RMM) Remote Monitoring and Management مشروعی مانندPDQ Connect  را نصب می‌کند؛ روشی که اغلب توسط گروه MuddyWater استفاده می‌شود.

پروف‌پوینت همچنین اعلام کرده در برخی از این پیام‌ها، مهاجمان خود را به‌جای چهره‌های شناخته‌شده حوزه سیاست خارجی آمریکا و وابسته به اندیشکده‌هایی مانند Brookings Institution  و Washington Institute  جا زده‌اند تا ظاهر مشروعی به ایمیل‌ها بدهند و احتمال موفقیت حمله را بالا ببرند.

اهداف این تلاش‌ها، بیش از ۲۰ کارشناس تخصصی مرتبط با یک اندیشکده آمریکایی بوده‌اند که بر مسائل سیاست‌گذاری مرتبط با ایران تمرکز دارند. دست‌کم یک مورد، گزارش شده که مهاجم پس از دریافت پاسخ از هدف، اصرار داشته پیش از ادامه همکاری، هویت گیرنده و اصالت آدرس ایمیل او را تأیید کند.

در متن یکی از این ایمیل‌ها آمده است: «من در حال تماس هستم تا تأیید کنم آیا ایمیلی که اخیراً علاقه‌مندی به پروژه تحقیقاتی مؤسسه ما را ابراز کرده، واقعاً توسط شما ارسال شده یا خیر. این پیام از آدرسی دریافت شده که به نظر نمی‌رسد ایمیل اصلی شما باشد و پیش از ادامه همکاری، می‌خواستم از اصالت آن مطمئن شوم.»

در ادامه، مهاجمان پیوندی را ارسال کردند که ادعا می‌شد شامل اسنادی است که در جلسه‌ آتی درباره آن بحث خواهد شد، اما کلیک روی آن لینک، قربانی را به صفحه‌ای جعلی هدایت می‌کرد که برای سرقت اطلاعات ورود به حساب مایکروسافت او طراحی شده بود.

در نوع دیگری از زنجیره آلودگی، نشانی اینترنتی، ظاهر یک صفحه ورود Microsoft Teams را تقلید می‌کرد و دکمه‌ای با عنوان «Join now» داشت. بااین‌حال، مراحل بعدی که پس از کلیک روی این دکمه آغاز می‌شدند، نامشخص باقی می‌ماندند.

شرکت Proofpoint خاطرنشان کرد پس از آنکه قربانی نسبت به اصالت پیام‌ها ابراز تردید کرد، مهاجم، صفحه سرقت اطلاعات را تغییر داده و نیاز به وارد کردن رمز عبور را حذف کرده است. همچنین به‌جای آن، قربانی مستقیماً به صفحه‌ای جعلی از OnlyOffice  هدایت می‌شد که روی دامنه thebesthomehealth[.]com  میزبانی شده بود.

نعمان افزود: «ارجاع UNK_SmudgedSerpent به نشانی‌های OnlyOffice و دامنه‌های مرتبط با حوزه سلامت، یادآور فعالیت‌های TA455 است. این گروه، از اکتبر ۲۰۲۴ شروع به ثبت دامنه‌های مرتبط با سلامت کرده، در حالی‌که قبلاً بیشتر دامنه‌هایی با موضوعات هوافضا ثبت می‌کرد و از ژوئن ۲۰۲۵ به استفاده از OnlyOffice برای میزبانی فایل‌ها روی آورده است.»

در سایت جعلی OnlyOffice، یک فایل فشرده ZIP میزبانی می‌شود که شامل نصب‌کننده MSI است و در نهایت، برنامه PDQ Connect را اجرا می‌کند. سایر اسناد ارائه‌شده نیز طبق ارزیابی شرکت، صرفاً فایل‌های پوششی یا «طعمه» هستند.

شواهد نشان می‌دهد UNK_SmudgedSerpent  پس از نفوذ اولیه، به‌صورت دستی، اقدام به نصب ابزارهای RMM  اضافی مانندISL Online  از طریق PDQ Connect کرده است. دلیل استفاده متوالی دو برنامه متفاوت RMM هنوز مشخص نیست.

سایر ایمیل‌های فیشینگ ارسال‌شده توسط این عامل تهدید، فرد دانشگاهی آمریکایی را هدف قرار داده بود تا در بررسی‌های نهادهای مرتبط با ایران کمک‌کننده باشد. در نمونه‌ای دیگر در اوایل اوت ۲۰۲۵، از شخصی دعوت کرده بودند تا در پژوهشی با عنوان «نقش در حال ‌گسترش ایران در آمریکای لاتین و پیامدهای آن برای سیاست ایالات متحده» همکاری کند.

پروف‌پوینت همچنین مدعی شده: «این کارزارها با مأموریت جمع‌آوری اطلاعات توسط ایران هم‌راستا هستند و بر تحلیل سیاست‌های غرب، پژوهش‌های دانشگاهی و فناوری‌های راهبردی تمرکز دارند. این عملیات، نشانه‌ای از همکاری در حال گسترش بین نهادهای اطلاعاتی ایران و واحدهای سایبری است که از دگرگونی در ساختار اکوسیستم جاسوسی ایران حکایت دارد.»