Proofpoint Tehdit Araştırması, Haziran ve Ağustos 2025 arasında akademisyenlere ve dış politika uzmanlarına karşı karmaşık kimlik avı kampanyaları yürüten, daha önce bilinmeyen, UNK_SmudgedSerpent adlı İranlı bir tehdit aktörünü tespit etti.
Grup, hedeflere sızmak için kimlik bilgisi toplama teknikleri, gelişmiş sosyal mühendislik ve uzaktan yönetim araçlarını kullandı ve yerleşik İran tehdit gruplarını anımsatan, birbiriyle örtüşen taktiklerden oluşan karmaşık bir ağı ortaya çıkardı.
Kampanya, Haziran 2025’te Proofpoint araştırmacılarının, İran’daki ekonomik belirsizlik ve siyasi huzursuzluğu tartışan ABD merkezli bir düşünce kuruluşunun 20’den fazla üyesine gönderilen iyi niyetli e-postaları keşfetmesiyle başladı.
Tehdit aktörü, Brookings Enstitüsü’nün başkan yardımcısı ve Dış Politika programı yöneticisi Suzanne Maloney’nin kimliğine bürünerek, kasıtlı olarak “Suzzane Maloney” adının yanlış yazıldığı bir Gmail adresi kullandı.
Saldırganlar, İran’daki toplumsal değişime ve İslam Devrim Muhafızları Ordusu’nun (IRGC) militarizasyonuna yönelik bir soruşturmaya odaklanan iç siyasi tuzaklardan yararlandı.
Gelişmiş Sosyal Mühendislik
Enfeksiyon zinciri, gelişmiş operasyonel zanaat becerisini ortaya koydu. Saldırgan, İran politikasında işbirliği konusunda iyi huylu sohbet başlatıcılarla ilk teması kurduktan sonra, ABD merkezli analistleri hedef almasına rağmen kimlik bilgilerinin doğrulanmasını ve İsrail saat dilimlerini kullanarak planlanmış toplantılar talep etti.
Aktör daha sonra OnlyOffice bağlantıları gibi görünen ancak aslında thebesthomehealth.com ve mozaikhealthsolutions.com gibi sağlık temalı saldırgan alanlarına yönlendiren URL’ler sundu.
Bu alanlar, önceden yüklenmiş kullanıcı bilgileri içeren özelleştirilmiş kimlik bilgisi toplama sayfalarını barındırdı ve bu da başarılı bir şekilde uzlaşma olasılığını artırdı.
Hedefler kimlik bilgisi toplama sayfalarından şüphelenmeye başladığında, UNK_SmudgedSerpent şifre gereksinimlerini kaldırarak ve sahte OnlyOffice oturum açma sayfalarına geçerek hızla adapte oldu.
Saldırgan daha sonra meşru bir Uzaktan İzleme ve İzleme (RMM) aracı olan PDQConnect’i yükleyen Microsoft Installer (MSI) dosyalarını içeren kötü amaçlı arşivleri barındırdı.
Sonraki uygulamalı klavye etkinliği, ikinci bir RMM platformu olan ISL Online’ın konuşlandırılmasını içeriyordu; bu, ilk uzlaşma girişimleri başarısız olduktan sonra yedeklilik veya beklenmedik durum planlaması öneriyordu.
Soruşturma, üç İranlı tehdit grubunun örtüşen taktiklerini ortaya çıkardı: TA453 (Charming Kitten), TA455 (C5 Agent) ve TA450 (MuddyWater). Bu örtüşmeler kesin atıf yapılmasını engelledi ancak potansiyel operasyonel bağlantıları önerdi.
URL, e-postada yalnızca bir OnlyOffice bağlantısı olarak görünüyordu, bunun yerine sağlık temalı bir saldırgan etki alanına thebesthomehealth köprüsüyle bağlanıyordu[.]com, ikinci bir sağlık temalı saldırgan etki alanı mozaikhealthsolutions’a yönlendirildi[.]Microsoft 365 oturum açma sayfasını görüntüleyen com.
UNK_SmudgedSerpent’in politika uzmanlarını hedefleme ve olumlu sohbet başlatıcıları kullanma yaklaşımı TA453’ün metodolojisiyle eşleşirken, sağlık temalı alanların ve OnlyOffice altyapısının kullanımı TA455 operasyonlarına benziyordu.
Ancak RMM araçlarının dağıtımı, TA450’nin belgelenmiş taktikleriyle uyumlu olup, devlet destekli aktörler arasında nadir kaldığı için RMM kullanımını özellikle önemli kılmaktadır.
İranlı Uzmanların Hedef Alınması Devam Ediyor
UNK_SmudgedSerpent, ilk Brookings Enstitüsü kampanyasının ötesinde, İran politika uzmanlığına ısrarlı bir ilgi gösterdi.
Grup, aralarında Dr. Suzanne Maloney (doğru yazılmış) ve Washington Enstitüsü müdürü Patrick Clawson’un da bulunduğu ek kişileri yanıltarak, İsrail bağlantıları olan ABD merkezli akademisyenleri hedef aldı.
Ağustos 2025’te aktör, yine Gmail ve Outlook’ta sahte Patrick Clawson hesaplarını kullanarak İran’ın Latin Amerika operasyonlarında işbirliği talep etmeye başladı.
Kampanyanın düzensiz ama kasıtlı hedefleme modeli, İran hükümetinin faaliyetleri, askeri operasyonlar ve bölgesel nüfuz hakkındaki yabancı bakış açılarını anlamaya yönelik kurumsal ilgiyi akla getiriyor.
Ağustos 2025’ten bu yana başka bir UNK_SmudgedSerpent etkinliği tespit edilmedi, ancak araştırmacılar ilgili operasyonların muhtemelen devam edeceğine inanıyor.
Proofpoint’in bulguları, İran siber operasyonlarının gelişen karmaşıklığını ve İran hükümetinin niyetlerini ve yeteneklerini analiz eden politika uzmanlarının ısrarla hedef alındığını vurguluyor.
Bu ekosistemdeki atıfların karmaşıklığı, İran hükümetinin daha geniş istihbarat toplama önceliklerini ve devlet sponsorluğu altında faaliyet gösteren tehdit grupları arasındaki potansiyel yeniden düzenlemeyi veya yüklenici değişimini yansıtıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.