Вредоносные программы, использование VPN и ложная дипломатическая переписка: разоблачена масштабная кибероперация Ирана против госструктур по всему миру
Пока дипломаты читали письма, иранские хакеры проникали в сети
В августе 2025 года специалисты компании Dream Threat Intelligence зафиксировали широкомасштабную фишинговую кампанию, за которой, по их данным, стоят операторы, связанные с Ираном. Эксперты приписывают операцию группе Homeland Justice, действующей под контролем Министерства разведки и безопасности Ирана (MOIS).
Главная уловка злоумышленников заключалась в том, что атака была замаскирована под официальную дипломатическую переписку. Для рассылки использовался взломанный почтовый ящик посольства Омана во Франции, от имени которого сообщения направлялись государственным учреждениям и международным организациям по всему миру.
Техника заражения
Во вложенных документах находился макрос, который считывал зашифрованную последовательность чисел из скрытого поля формы и преобразовывал её в исполняемый файл. Этот файл сохранялся под видом журнала событий и запускался скрытно, без каких-либо визуальных признаков активности. Чтобы усложнить обнаружение, применялись проверенные методы уклонения: запуск с параметрами, замедление выполнения, подавление ошибок и маскировка кода под лог-файл.
Вредонос также копировал себя в системные каталоги, изменял параметры DNS и TCP/IP в реестре Windows, что обеспечивало его устойчивость и долгосрочное присутствие в заражённой сети. Дополнительно программа собирала сведения о пользователе, имени устройства, уровне прав доступа и формировала JSON-структуру, передаваемую через HTTPS-запросы на удалённый C2-сервер.
При анализе в изолированной среде подключение к серверу управления не состоялось, что, вероятно, объясняется блокировкой либо временной недоступностью ресурса. Тем не менее, эксперты зафиксировали повторяющиеся попытки установить TLS-сессии по порту 443.
Масштаб и охват
Кампания отличалась продуманностью и масштабом: для отправки писем злоумышленники использовали более сотни взломанных почтовых адресов и инфраструктуру VPN. Атаки велись одновременно в разных регионах — на Ближнем Востоке, в Европе, Азии, Африке, обеих Америках, а также против международных организаций. Тематика писем подбиралась с учётом контекста каждой цели. В ряде сообщений, например, обсуждалась «роль арабских стран в регионе после конфликта Ирана и Израиля», что должно было вызвать доверие у получателей.
Инфраструктура атаки включала легитимные домены государственных учреждений (например, *@fm.gov.om), VPN-ресурсы и вредоносный хостинг. Вложения выглядели как официальные документы МИД, которые предлагалось «разблокировать», активировав макросы. В некоторых случаях пользователи видели предупреждения от Proofpoint на украинском языке, что указывает на попадание атак в организации с локализованными фильтрами почты.
Цели и последствия
По мнению Dream, кампания носила ярко выраженный разведывательный характер: злоумышленники стремились закрепиться внутри сетей, собирать информацию и подготовить почву для дальнейших действий, включая эксфильтрацию данных или перемещение по внутренней инфраструктуре. Использование дипломатической тематики и технических приёмов обхода защит показывает высокий уровень подготовки атакующих и знание специфики дипломатического взаимодействия.
Рекомендации
Эксперты советуют организациям:
блокировать выявленные индикаторы компрометации;
отслеживать исходящие POST-запросы к подозрительным доменам;
регулярно проверять системный реестр на предмет изменения сетевых параметров;
полностью отключить макросы в документах Microsoft Office;
анализировать журналы VPN-соединений на предмет подозрительной активности;
применять сегментацию сети для ограничения исходящего трафика.
По совокупности признаков, речь идёт о многоуровневой шпионской операции с особым упором на дипломатические структуры в Европе и на Ближнем Востоке. Маскировка, использование взломанных аккаунтов и работа через VPN делают кампанию одной из наиболее сложных и опасных кибератак последнего времени.