پروفپوینت، شرکت فعال در حوزه امنیت سایبری، گزارش داد یک گروه ناشناس از هکرهای ایرانی با بهکارگیری روشهای پیچیده فریب و مهندسی اجتماعی، دانشگاهیان و کارشناسان سیاست خارجی در ایالات متحده را هدف قرار داده است.
به گفته پژوهشگران این شرکت، این کارزار حملات که بین ماههای ژوئن تا اوت ۲۰۲۵ فعال بوده، نشاندهنده تحول در جاسوسی سایبری دولتی ایران است؛ جایی که مهاجمان تکنیکهای فیشینگ سنتی را با ابزارهای قانونی مدیریت از راه دور ترکیب کردهاند تا به اهداف حساس نفوذ کنند.
بهگزارش «پروف پوینت»، این گروه از موضوعهای سیاسی داخلی ایران، از جمله تغییرات اجتماعی و تحقیقات درباره نظامیسازی سپاه پاسداران، برای فریب قربانیان استفاده کرده است.
هکرها با ارسال ایمیلهایی با محتوای ظاهراً بیخطر، لینکهای جعلی مربوط به سلامت، میزبانهای تقلبی «اونلیآفیس» و ابزارهای «مدیریت از راه دور» را بهکار بردهاند.
تحلیلگران میگویند تاکتیکها و ابزارهای بهکاررفته در این حملات شباهت زیادی به فعالیت چند گروه شناختهشده وابسته به ایران دارد، اما به دلیل نبود شواهد قطعی، «پروف پوینت» این گروه را بهطور مستقل طبقهبندی کرده است.
تحقیقات نشان میدهد زنجیره حمله با گفتوگویی ساده و ارسال ایمیل درباره اوضاع اقتصادی و سیاسی ایران آغاز شده و سپس به تلاش برای سرقت اطلاعات حسابهای کاربری ختم شده است. پس از آن، لینکهایی حاوی فایلهای آرشیو و کدهای مخرب برای قربانیان ارسال شده که نرمافزارهای مدیریت از راه دور را روی دستگاه هدف نصب میکردند.
در نخستین کارزار این گروه در ژوئن ۲۰۲۵، هکرها با جعل هویت یکی از اعضای موسسه بروکینگز با بیش از ۲۰ پژوهشگر آمریکایی تماس گرفتند. این روش از نظر فنی مشابه حملات پیشین یکی از این گروهها بود. در ایمیلها از نام جعلی «سوزان مالونی»، مدیر برنامه سیاست خارجی موسسه بروکینگز، استفاده شده بود.
در ادامه، قربانیان لینکی دریافت کردند که ظاهراً مربوط به «اونلیآفیس» بود اما به صفحه جعلی ورود مایکروسافت در دامنهای با موضوع سلامت هدایت میشد. پس از آنکه یکی از اهداف به ماهیت فیشینگ این صفحه مشکوک شد، مهاجمان صفحه ورود را تغییر دادند و از نسخه جدیدی برای ادامه حمله استفاده کردند.
در مراحل بعد، فایلهای زیپ حاوی برنامههایی مشاهده شد که نرمافزار «پیدیکیو کانکت» را برای کنترل از راه دور اجرا میکرد. در برخی موارد، ابزار دیگری با نام «آیاسال آنلاین» نیز نصب شد که از آن برای دسترسی مستقیم مهاجمان به سیستم قربانی استفاده میشد.
«پروف پوینت» اعلام کرد شباهت زیاد در روشها و زیرساختها، نسبت دادن قطعی این گروه به یکی از نهادهای شناختهشده را دشوار کرده است. با این حال، بررسیها نشان میدهد تاکتیکها و اهداف این عامل تازه با الگوهای معمول گروههای وابسته به جمهوری اسلامی همخوانی دارد.
به گفته پژوهشگران، هدفگیری مداوم کارشناسان سیاست خارجی مرتبط با ایران، همچنان بخشی از اولویتهای اطلاعاتی حکومت ایران است.
