تحلیل عملیات UNK_SmudgedSerpent

شرکت Proofpoint در گزارشی جامع، جزئیات یک کمپین فیشینگ هدفمند را فاش کرد که طی ژوئن تا اگوست ۲۰۲۵ پژوهشگران و تحلیل‌گران سیاست خارجی متخصص در امور ایران را مورد حمله قرار داد. مهاجمان با جعل هویت محققان برجسته‌ای چون Suzanne Maloney از موسسه Brookings، بیش از ۲۰ فرد را در یک مؤسسه تحقیقاتی آمریکایی هدف قرار دادند. روش عملیاتی این گروه مبتنی بر مهندسی اجتماعی پیشرفته بود: آغاز با مکاتبات بی‌ضرر درباره تحولات سیاسی داخلی ایران، جلب اعتماد تدریجی، و سپس هدایت قربانیان به زیرساخت‌های مخرب برای سرقت اعتبارنامه‌ها و نصب ابزارهای کنترل از راه دور.

آنچه این عملیات را از منظر تحلیلی پیچیده می‌سازد، همگرایی تاکتیک‌های سه گروه تهدید شناخته‌شده ایرانی است: TA453 (Charming Kitten)، TA455، و TA450 (MuddyWater). مهاجمان از دامنه‌های جعلی با محوریت موضوعات بهداشتی و استخدامی استفاده کردند، صفحات OnlyOffice و Microsoft Teams را جعل نمودند، و در مرحله نهایی ابزارهای RMM نظیر PDQConnect را مستقر ساختند. این تلفیق تکنیک‌ها موجب شد تا محققان نتوانند با اطمینان بالا این فعالیت را به یک گروه مشخص نسبت دهند، که خود نشانگر تحولات ساختاری در اکوسیستم عملیات سایبری جمهوری اسلامی است.

محققان شرکت Proofpoint چندین فرضیه برای تبیین این همپوشانی مطرح می‌کنند: تأمین متمرکز زیرساخت‌های فناوری، جابه‌جایی نیروهای متخصص میان گروه‌های مختلف، استفاده همزمان از پیمانکاران توسط سازمان‌های پشتیبان، و یا وجود همکاری سازمانی میان نهادهای متعدد نظیر سپاه پاسداران و وزارت اطلاعات.

@NarimanGharib