APT42 olarak bilinen İran devleti destekli tehdit aktörünün, casusluk odaklı yeni bir kampanyanın parçası olarak İslam Devrim Muhafızları Ordusu’nun (IRGC) ilgisini çeken kişi ve kuruluşları hedef aldığı gözlemlendi.
Eylül 2025’in başlarında tespit edilen ve devam ettiği değerlendirilen faaliyete kod adı verildi. MızrakSpecter İsrail Ulusal Dijital Ajansı (INDA) tarafından.
INDA araştırmacıları Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David ve Yaniv Goldman, “Kampanya, kişiselleştirilmiş sosyal mühendislik taktikleri kullanarak sistematik olarak yüksek değerli üst düzey savunma ve hükümet yetkililerini hedef aldı” dedi. “Bunlar arasında hedeflerin prestijli konferanslara davet edilmesi veya önemli toplantıların düzenlenmesi yer alıyor.”
Bu çabanın dikkate değer yanı, aynı zamanda hedefin aile üyelerine de yayılması, birincil hedefler üzerinde daha fazla baskı uygulayan daha geniş bir saldırı yüzeyi yaratmasıdır.
APT42 ilk kez 2022’nin sonlarında Google Mandiant tarafından kamuya açık olarak belgelendi ve APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (eski adıyla Phosphorus), TA453 ve Yellow Garuda olarak takip edilen başka bir IRGC tehdit kümesiyle örtüşmeleri ayrıntılarıyla anlatıldı.
Grubun ayırt edici özelliklerinden biri, kötü niyetli bir yük göndermeden veya onları bubi tuzaklı bağlantılara tıklamaları için kandırmadan önce, bazı durumlarda orijinallik yanılsaması yaratmak için bilinen kişiler gibi davranarak, hedefler arasında güven oluşturmak amacıyla günlerce veya haftalarca sürebilecek ikna edici sosyal mühendislik kampanyaları düzenleme yeteneğidir.
Haziran 2025 gibi yakın bir tarihte Check Point, tehdit aktörlerinin e-postalarda ve WhatsApp mesajlarında teknoloji yöneticisi veya araştırmacı kılığına girerek İsrail teknolojisine ve siber güvenlik uzmanlarına yaklaştıkları bir saldırı dalgasını ayrıntılarıyla anlattı.
Goldman, The Hacker News’e SpearSpecter ile Haziran 2025 kampanyasının birbirinden farklı olduğunu ve APT42 içindeki iki farklı alt grup tarafından yürütüldüğünü söyledi.
Goldman, “Kampanyamız APT42’nin (daha çok kötü amaçlı yazılım tabanlı operasyonlara odaklanan) D kümesi tarafından yürütülürken, Check Point tarafından ayrıntıları verilen kampanya aynı grubun (daha çok kimlik bilgisi toplamaya odaklanan) B kümesi tarafından yürütüldü” diye ekledi.
INDA, SpearSpecter’in, düşmanın hedefin değerine ve operasyonel hedeflere göre yaklaşımını değiştirmesi açısından esnek olduğunu söyledi. Bir dizi saldırıda kurbanlar, kimlik bilgilerini ele geçirmek için tasarlanmış sahte toplantı sayfalarına yönlendiriliyor. Öte yandan, eğer nihai amaç kalıcı ve uzun vadeli erişimse, saldırılar, son yıllarda defalarca kullanıma sunulan TAMECAT adlı bilinen bir PowerShell arka kapısının konuşlandırılmasına yol açıyor.
Bu amaçla saldırı zincirleri, yaklaşan bir toplantı veya konferans için gerekli olduğu varsayılan bir belgeye kötü amaçlı bir bağlantı göndermek amacıyla güvenilir WhatsApp kişilerinin kimliğine bürünmeyi içeriyor. Bağlantı tıklatıldığında, “search-ms:” protokol işleyicisinden yararlanarak bir PDF dosyası gibi görünen WebDAV tarafından barındırılan bir Windows kısayolu (LNK) sunmak üzere bir yönlendirme zinciri başlatır.
LNK dosyası, TAMECAT için bir yükleyici görevi gören bir toplu komut dosyasını almak için Cloudflare Workers alt alanıyla bağlantı kurar; bu komut dosyası, veri sızmasını ve uzaktan kontrolü kolaylaştırmak için çeşitli modüler bileşenler kullanır.
PowerShell çerçevesi, komuta ve kontrol (C2) için HTTPS, Discord ve Telegram olmak üzere üç farklı kanal kullanıyor; bu da tehdit aktörünün, bir yol tespit edilip engellense bile güvenliği ihlal edilmiş ana bilgisayarlara kalıcı erişimi sürdürme hedefini akla getiriyor.
Telegram tabanlı C2 için TAMECAT, saldırgan tarafından kontrol edilen bir Telegram botundan gelen komutları dinler ve buna göre farklı Cloudflare Workers alt alanlarından ek PowerShell kodunu alıp çalıştırır. Discord durumunda, temel sistem bilgilerini göndermek ve kodlanmış bir kanaldan karşılığında komutlar almak için bir web kancası URL’si kullanılır.
INDA araştırmacıları, “Oyuncunun Discord sunucusundan kurtarılan hesapların analizi, komut arama mantığının belirli bir kullanıcıdan gelen mesajlara dayandığını, aktörün birden fazla saldırıyı koordine etmek için aynı kanalı kullanırken, tek bir altyapı üzerinde etkili bir şekilde işbirliğine dayalı bir çalışma alanı oluşturarak bireysel virüslü ana bilgisayarlara benzersiz komutlar iletmesine olanak sağladığını gösteriyor.” dedi.
Ayrıca TAMECAT, keşif yapma, belirli uzantılarla eşleşen dosyaları toplama, Google Chrome ve Microsoft Edge gibi web tarayıcılarından veri çalma, Outlook posta kutularını toplama ve 15 saniyelik aralıklarla ekran görüntüsü alma özellikleriyle donatılmıştır. Veriler HTTPS veya FTP üzerinden sızdırılır.
Ayrıca tespitten kaçmak ve analiz çabalarına direnmek için çeşitli gizli teknikleri de benimser. Bunlar arasında telemetri ve denetleyici yüklerinin şifrelenmesi, kaynak kodu gizleme, kötü amaçlı etkinlikleri gizlemek için arazide yaşayan ikili dosyaların (LOLBin’ler) kullanılması ve çoğunlukla bellekte çalıştırılarak diskte çok az iz bırakılması yer alıyor.
INDA, “SpearSpecter kampanyasının altyapısı, yüksek değerli hedeflere karşı uzun süreli casusluğu sürdürmek için tasarlanmış çeviklik, gizlilik ve operasyonel güvenliğin sofistike bir karışımını yansıtıyor” dedi. “Operatörler, meşru bulut hizmetlerini saldırgan tarafından kontrol edilen kaynaklarla birleştiren, kusursuz ilk erişim, kalıcı komuta ve kontrol (C2) ve gizli veri sızmasına olanak tanıyan çok yönlü bir altyapıdan yararlanıyor.”