İslam Devrim Muhafız Kolordusu (IRGC) ile ilişkili İran devlet destekli bir hack grubu, gazetecileri, yüksek profilli siber güvenlik uzmanlarını ve İsrail’deki bilgisayar bilimleri profesörlerini hedefleyen bir mızrak aktı kampanyasıyla bağlantılıdır.
Çarşamba günü yayınlanan bir raporda, “Bu kampanyaların bazılarında İsrail teknolojisi ve siber güvenlik profesyonellerine, e -postalar ve WhatsApp mesajları aracılığıyla teknoloji yöneticilerine veya araştırmacılara hayali asistan olarak görev yapan saldırganlara yaklaşıldı.” “Tehdit aktörleri, onlarla meşgul olan kurbanları sahte Gmail oturum açma sayfalarına veya Google’ın davetiyeleri karşılamaya yönlendirdi.”
Siber güvenlik şirketi, faaliyeti APT35 (ve alt kümesi APT42), Calanque, Charming Kedi, Igg18, Sihirli Hound, Mint Sandstorm (eski Phosforus), Newscaster, TA453 ve Sarı Garuda ile örtüşen Educated Manticore olarak izlediği bir tehdit kümesine bağladı.
Gelişmiş Kalıcı Tehdit (APT) Grubu, kurbanları sistemlerinde kötü amaçlı yazılım dağıtmak için kandırmak için hayali kişiler kullanarak Facebook ve LinkedIn gibi çeşitli platformlarda hedeflere yaklaşan sosyal mühendislik saldırılarını düzenleme konusunda uzun bir geçmişe sahiptir.
Check Point, İran-İsrail Savaşı’nın patlak vermesinin ardından 2025 yılının ortalarında başlayan yeni bir saldırı dalgası gözlemlediğini söyledi. Mesajların yapay zeka (AI) araçları kullanılarak hazırlandığına inanılıyor.
Şirket tarafından işaretlenen WhatsApp mesajlarından biri, 12 Haziran’dan bu yana İsrail’i hedefleyen siber saldırılarda bir artışa karşı koymak için AI tabanlı bir tehdit tespit sisteminde derhal yardıma ihtiyaç duyduklarını iddia ederek, kurbanı bir toplantıya katılmaya ihtiyaç duyduklarını iddia ederek, iki ülke arasındaki mevcut jeopolitik gerilimlerden yararlandı.
Önceki büyüleyici yavru kedi kampanyalarında gözlemlenenler gibi ilk mesajlar, kötü niyetli eserlerden yoksundur ve öncelikle hedeflerine güvenmek için tasarlanmıştır. Tehdit aktörleri konuşma sırasında ilişki kurduktan sonra, saldırı, kurbanları Google hesap kimlik bilgilerini hasat edebilecek sahte açılış sayfalarına yönlendiren bağlantıları paylaşarak bir sonraki aşamaya geçer.
Check Point, “Kimlik avı bağlantısını göndermeden önce, tehdit aktörleri kurbandan e -posta adreslerini isteyin.” Dedi. “Bu adres daha sonra güvenilirliği artırmak ve meşru bir Google kimlik doğrulama akışının görünümünü taklit etmek için kimlik kimlik avı sayfasında önceden doldurulur.”
“Özel Kimlik Avı Kiti […] React tabanlı tek sayfalık uygulamalar (SPA) ve dinamik sayfa yönlendirme gibi modern web teknolojilerini kullanarak Google’dan gelenler gibi tanıdık oturum açma sayfalarını yakından taklit eder. Ayrıca çalınan verileri göndermek için gerçek zamanlı WebSocket bağlantıları kullanır ve tasarım, kodunu ek incelemeden gizlemesine izin verir. “
Sahte sayfa, sadece kimlik bilgilerini değil, aynı zamanda iki faktörlü kimlik doğrulama (2FA) kodlarını da yakalayabilen ve 2FA röle saldırılarını etkili bir şekilde kolaylaştırabilen özel bir kimlik avı kitinin bir parçasıdır. Kit ayrıca, kurbanın girdiği tüm tuş vuruşlarını kaydetmek ve kullanıcının süreci ortada terk etmesi durumunda bunları dışarı atmak için pasif bir Keylogger içerir.
Bazı sosyal mühendislik çabaları, Meşru Toplantı sayfasını taklit eden bir resme sahip Bogus Google buluşma sayfalarını barındırmak için Google Sitesi alanlarının kullanımını da içeriyordu. Görüntünün herhangi bir yerine tıklamak, kurbanı kimlik doğrulama işlemini tetikleyen kimlik avı sayfalarına yönlendirir.
Check Point, “Eğitimli Manticore, özellikle İran-İsrail çatışmasının tırmanma aşamasında İsrail’deki bireyler için kalıcı ve yüksek etkili bir tehdit oluşturmaya devam ediyor.” Dedi.
“Grup istikrarlı bir şekilde çalışmaya devam ediyor, agresif mızrak avı, hızlı alan, alt alan ve altyapı ve tanımlandığında hızlı tempolu yayından kaldırma ile karakterize ediliyor. Bu çeviklik, artan inceleme altında etkili kalmalarını sağlar.”