گروهی از هکرهای حکومتی وابسته به جمهوری اسلامی و از زیرمجموعههای گروه موسوم به (APT35)، که پیش از این با نامهای (Charming Kitten)، (Imperial Kitten) و (Tortoiseshell) نیز شناخته شدهاند، ابزار و توانمندیهای خود را به روز کرده و مجموعه حملات هدفمند فریبکارانه، موسوم به (spear-phishing) را علیه حسابهای کاربری و ایمیل اهداف مختلف، ازجمله افرادی در اسرائیل را صورت دادهاند.
شرکت امنیتی (Volexity) مستقر در ایالت ویرجینیا در آمریکا گفته، این گروه در یک مورد از حملات نوع فیشینگ، یک فایل فشرده شده (RAR) را تحت عنوان «پیشنویس گزارش» برای یک خبرنگار اسرائیلی ارسال کرده است. فایلی محافظت شده با رمز عبور، که قربانی را به یک پیوند آلوده منتقل میکند و دسترسی مهاجمان را به دستگاه قربانی فراهم میکند.
به گفته این شرکت، هکرها در این مورد بسیار هدفمند و با برنامه عمل کردهاند. آنها از این خبرنگار پرسیده اند که آیا مایل است که سندی را مرتبط با سیاست خارجی ایالات متحده مطالعه کند؟ هکرها سپس به صورت غیر مستقیم، و از طریق ایمیلی دیگر، سوالاتی بیخطر را برای قربانی ارسال کرده و به مدت چند روز با او به تعامل پرداختند و در نهایت، پس از جلب اعتماد، فایل آلوده «پیشنویس گزارش» را برای او ارسال کردند.
بدافزاری که هکرها در این دوره از حملههای نوع فیشینگ مورد استفاده قراردادهاند، (PowerStar) نام دارد. این بدافزار درواقع نسخه به روز شده بدافزار دیگری است بنام (CharmPower)، که شرکت امنیتی چکپوینت سال گذشته میلادی در باره آن گزارشی مفصل ارائه کرده بود. این بدافزار در خلال آلودهسازی دستگاه هدف، از خدمات شرکت (Backblaze) بهره برده و از طریق کنترل و فرمان (C2) اطلاعات قربانی را به زیرساختهای این شرکت منتقل و ذخیره سازی میکند.
بررسیهای کارشناسان شرکت (Volexity) نشان داده، هکرها این بدافزار را به شکلی توسعه دادهاند که اقدامات ساده اپراتور آن به صورت خودکار انجام شود. همچنین یک تابع رمزگشایی از فایلهای میزبانی شده از راه دور و یک دگمه خاموشی بدافزار نیز به آن افزوده شده تا کشف بدافزار را خارج از حافظه دشوار کرده و از تجزیه و تحلیل آینده عملکرد کلیدی آن نیز جلوگیری شود.
به گفته این کارشناسان، هکرها از این بدافزار توسعه یافته به شکل محدود استفاده می کنند که این امر، رصد و تحلیل عملکرد خود بدافزار و عوامل گرداننده آن را مشکلتر میکند.
هکرهای (APT35) حدود ده سال پیش در کانون رصد شرکتهای امنیتی قرار گرفته و سال ۲۰۲۱ میلادی نیز، شرکت (Darktrace) گزارش مفصلی را در خصوص حملات این گروه در خاورمیانه و آمریکای شمالی منتشر کرده است.
توبی لوئیس، مدیر تجزیه و تحلیل تهدید جهانی در شرکت (Darktrace)، در خصوص (APT35) میگوید که این گروه مرتبط با حکومت ایران، همواره تلاش دارد که خاص و منحصر به فرد به نظر آمده و خود را از هرگونه رصد پنهان کند. از این رو شیوه مهندسی اجتماعی را برای فعالیت خود انتخاب کرده و بر آن تمرکز کرده است.