Daha önce kimliği belirlenemeyen bir İranlı tehdit aktörü, ABD’deki akademisyenleri ve dış politika uzmanlarını hedef alan karmaşık sosyal mühendislik taktikleriyle ortaya çıktı.
Haziran ve Ağustos 2025 arasında faaliyet gösteren bu kampanya, saldırganların yüksek değerli hedefleri tehlikeye atmak için geleneksel kimlik avı tekniklerini meşru uzaktan yönetim araçlarıyla harmanladığı, devlet destekli siber casusluğun gelişen manzarasını gösteriyor.
UNK_SmudgedSerpent olarak takip edilen operasyon, İran siber operasyonlarında endişe verici bir gelişmeyi temsil ediyor ve gelişmiş teknik yetenekleri ve hasta keşif yöntemlerini sergiliyor.
Tehdit aktörü, İran’ın ekonomik krizi, toplumsal reform ve Devrim Muhafızları’nın militarizasyonu gibi hassas konuları tartışan, görünüşte iyi niyetli e-postalar aracılığıyla teması başlattı.
Dikkatlice hazırlanmış bu mesajlar, tespit edilmekten kaçınmak için ücretsiz posta hesaplarını hafif yazım hataları kullanarak Brookings Enstitüsü’nden Dr. Suzanne Maloney ve Washington Enstitüsü’nden Patrick Clawson gibi önde gelen isimlerin kimliğine bürünüyordu.
Hedefler, kötü niyetli faaliyetlere geçmeden önce güven tesis etmek amacıyla İran’ın iç siyasi gelişmelerini inceleyen araştırma projeleri konusunda işbirliği talepleri aldı.
Proofpoint güvenlik araştırmacıları, ABD merkezli bir düşünce kuruluşunda 20’den fazla kişiyi hedef alan şüpheli e-posta etkinliğini araştırdıktan sonra UNK_SmudgedSerpent’i tespit etti.
Kampanya, TA455, TA453 ve TA450 gibi bilinen İranlı gruplarla örtüşen taktikleri ortaya çıkardı ve bu da ilişkilendirme zorlukları yarattı.
Araştırmacılar, oyuncunun thebesthomehealth gibi sağlık temalı altyapı alanlarını kullandığına dikkat çekti.[.]com ve mozaikhealthsolutions[.]com, kötü amaçlı yükler sağlamak için OnlyOffice dosya barındırma platformu sahtekarlıklarıyla birlikte.
Bu alanlar, meşru bulut işbirliği hizmetleri görünümüne bürünerek yeniden yönlendirme noktaları olarak işlev görüyordu.
Enfeksiyon zinciri, kurban bilgilerinin önceden yüklendiği özelleştirilmiş Microsoft 365 oturum açma sayfalarının kullanıldığı kimlik bilgileri toplama girişimleriyle başladı.
İlk kimlik avı girişimleri başarısız olduğunda saldırganlar, parola gereksinimlerini ortadan kaldırarak ve sahte OnlyOffice oturum açma portalları sunarak yaklaşımlarını uyarladılar.
Hedefler bu sahte sayfalara eriştikten sonra, görünüşte meşru PDF’lerin yanı sıra MSI dosyalarını içeren kötü amaçlı ZIP arşivlerini barındıran belge depolarıyla karşılaştılar.
Çift RMM Dağıtımı ve Kalıcı Erişim
Teknik uygulama, uzaktan yönetime ve yazılımın kötüye kullanımını izlemeye odaklanan karmaşık, çok aşamalı bir yaklaşımı ortaya çıkardı.
Kötü amaçlı MSI dosyasını ele geçirilen OnlyOffice sahtekarlığından indirip çalıştırdıktan sonra, kurbanlar bilmeden BT yönetimi için yaygın olarak kullanılan meşru bir RMM aracı olan PDQConnect’i yüklediler.
.webp)
Bu ilk dağıtım, kurban sistemlerine temel erişim sağladı ve tehdit aktörlerinin keşif yapmasına ve hedef değeri değerlendirmesine olanak tanıdı.
PDQConnect kurulumunun ardından araştırmacılar, saldırganların ISL Online adı verilen ikincil bir RMM çözümünü dağıtmak için ilk erişimlerini kullandıkları şüpheli uygulamalı klavye etkinliği gözlemlediler.
Bu sıralı dağıtım stratejisi kısmen anlaşılmış olsa da analistler bunun farklı operasyonel aşamalar için yedeklilik veya özel işlevsellik olarak hizmet edebileceğini öne sürüyor.
Özel kötü amaçlı yazılımlar yerine meşru ticari RMM araçlarının kullanılması, kötü amaçlı trafiği normal BT yönetimi etkinlikleriyle harmanlayarak ve imza tabanlı algılama sistemlerinden kaçınarak operasyonel güvenlik avantajları sağlar.
.webp)
Kampanyanın altyapı analizi, UNK_SmudgedSerpent alan adları ile önceden tanımlanmış TA455 operasyonları, özellikle de kariyer temalı alan adı ebixcareers arasındaki sunucu yapılandırması benzerliklerini ortaya çıkardı.[.]com sahte Teams portallarını gösteriyor.
Ek araştırmalar, TA455’in özel arka kapısı MiniJunk ve PDQConnect için başka bir MSI yükleyicisi de dahil olmak üzere ilgili altyapıda barındırılan dosyaları ortaya çıkardı ve bu da ilişkilendirmeyi daha da karmaşık hale getirdi.
Ağustos 2025’in başından bu yana bu aktörden herhangi bir ek faaliyet gözlemlenmedi, ancak ilgili altyapı muhtemelen İranlı dış politika uzmanlarını ve akademik kurumları hedef alan gelecekteki kampanyalar için çalışır durumda kalacak.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
