Иранские хакеры спалились!
Исследователи SafeBreach опубликовали разбор кампании, которая всё больше указывает на государственный след.
Что выяснили:
Управление доменами C2 шло сразу двумя способами: через DGA и через расшифровку данных из блокчейна. Это даёт операторам гибкость и позволяет не пересобирать вредонос при каждой смене инфраструктуры.
Для первичного заражения, вероятно, использовалась свежая уязвимость WinRAR — компонент оказывался в папке автозагрузки.
Зафиксирован возможный ответный удар по аналитикам: в Telegram-группе, связанной с «Принцем Персии», нашли ZIP-архив, замаскированный под выгрузку от жертвы.
Архив запускал цепочку LNK → PowerShell, устанавливал ZZ Stealer, который затем подгружал модифицированный инфостилер StormKitty.
SafeBreach отмечает сильные совпадения с инцидентом начала 2024 года (компрометация Python-библиотек), о котором ранее сообщала Checkmarx. Также упомянута более слабая связь по методам доставки с группировкой Educated Manticore (по данным Check Point).
Главный аргумент про “госуху”:
С 8 по 24 января 2026 не было ни новых доменов, ни выгрузок данных.
Этот период совпал с общенациональным отключением интернета в Иране.
26 января началась подготовка серверов, 27 января отключение завершилось — и активность вернулась.
Вывод: Оценивать кампании нужно не только по коду и индикаторам, но и по ритму работы. Когда инфраструктура и инструменты синхронизируются с событиями в реальном мире, это сильный сигнал о происхождении угрозы и повод заранее усиливать защиту.
