تحلیل عملیات UNK_SmudgedSerpent

شرکت Proofpoint در گزارشی جامع، جزئیات یک کمپین فیشینگ هدفمند را فاش کرد که طی ژوئن تا اگوست ۲۰۲۵ پژوهشگران و تحلیل‌گران سیاست خارجی متخصص در امور ایران را مورد حمله قرار داد. مهاجمان با جعل هویت محققان برجسته‌ای چون Suzanne Maloney از موسسه Brookings، بیش از ۲۰ فرد را در یک مؤسسه تحقیقاتی آمریکایی هدف قرار دادند. روش عملیاتی این گروه مبتنی بر مهندسی اجتماعی پیشرفته بود: آغاز با مکاتبات بی‌ضرر درباره تحولات سیاسی داخلی ایران، جلب اعتماد تدریجی، و سپس هدایت قربانیان به زیرساخت‌های مخرب برای سرقت اعتبارنامه‌ها و نصب ابزارهای کنترل از راه دور.

آنچه این عملیات را از منظر تحلیلی پیچیده می‌سازد، همگرایی تاکتیک‌های سه گروه تهدید شناخته‌شده ایرانی است: TA453 (Charming Kitten)، TA455، و TA450 (MuddyWater). مهاجمان از دامنه‌های جعلی با محوریت موضوعات بهداشتی و استخدامی استفاده کردند، صفحات OnlyOffice و Microsoft Teams را جعل نمودند، و در مرحله نهایی ابزارهای RMM نظیر PDQConnect را مستقر ساختند. این تلفیق تکنیک‌ها موجب شد تا محققان نتوانند با اطمینان بالا این فعالیت را به یک گروه مشخص نسبت دهند، که خود نشانگر تحولات ساختاری در اکوسیستم عملیات سایبری جمهوری اسلامی است.

محققان شرکت Proofpoint چندین فرضیه برای تبیین این همپوشانی مطرح می‌کنند: تأمین متمرکز زیرساخت‌های فناوری، جابه‌جایی نیروهای متخصص میان گروه‌های مختلف، استفاده همزمان از پیمانکاران توسط سازمان‌های پشتیبان، و یا وجود همکاری سازمانی میان نهادهای متعدد نظیر سپاه پاسداران و وزارت اطلاعات.

@NarimanGharib

انتشار چهارم اسناد لو رفته از عملیات APT35 سپاه پاسداران جمهوری اسلامی (چارمینگ کیتن-بچه گربه جذاب) چیزی رو افشا میکنه که نشت های قبلی نکردن: ستون فقرات مالی کامل و سیستم تهیه زیرساخت که این گروه هک وابسته به سپاه رو، عملیاتی نگه میداره. سه فایل CSV که توسط گروه ناشناس KittenBusters منتشر شدن، یک سیستم حسابداری دقیق رو نشون میدن که همه چیز از پرداخت های بیتکوین گرفته تا اکانتهای ProtonMail و تخصیص شبکه های LTE ایرانی رو ردیابی میکنه.

من با تست چند آدرس ایمیل منتشر شده در اسناد، موفق شدم به ایمیل‌های گروه هکری «عصای موسی» وارد بشم.

https://blog.narimangharib.com/posts/2025%2F10%2F1761609810950?lang=fa
@NarimanGharib

مطلب ایران اینترنشنال در مورد آکادمی راوین:
https://www.iranintl.com/202510230171

، آموزشگاه مخفی وزارت اطلاعات که خودش رو موسسه آموزش امنیت سایبری معرفی می‌کنه، دیشب مجبور شد اعتراف کنه که یکی از سامانه‌هاش هک شده و اطلاعات دانشجوهاش لو رفته.
توی بیانیه‌شون گفتن که سامانه بیرون از شبکه‌شون بوده (که البته بهانه‌ای بیش نیست) و این حمله برای خدشه‌دار کردن رویداد "المپیک فناوری"شون بوده. همچنین مدعی شدن بخشی از اسامی منتشر شده نامعتبره، ولی در عین حال هم عذرخواهی کردن از کسایی که اطلاعاتشون نشت کرده!

یه موسسه امنیت سایبری که نتونسته از اطلاعات دانشجوهای خودش محافظت کنه. حالا ببینیم کی می‌خواد با اطلاع کامل از موضوع، توی رویداد CTF این آکادمی شرکت کنه

Ravin Academy, the Ministry of Intelligence's covert training center that presents itself as a cybersecurity training institute, was forced to admit last night that one of their systems was hacked and their students' data was leaked.

In their statement, they claimed the compromised system was hosted outside their network (which is nothing more than an excuse) and that this attack was intended to damage their "Technology Olympics" event. They also claimed that some of the published names are invalid, yet simultaneously apologized to those whose information was leaked!

A cybersecurity institute that couldn't protect its own students' data. Now let's see who's willing to participate in this academy's CTF event with full knowledge of what happened.

@NarimanGharib

https://www.iranintl.com/202510230171

یک بار دیگر، راوین آکادمی در کانون توجه رسانه‌های بین‌المللی قرار گرفته است. این بار، گزارش‌های تازه منتشر شده امروز از سوی شرکت امنیت سایبری Group-IB درباره فعالیت‌های گسترده گروه تهدید پیشرفته MuddyWater نشان می‌دهد که این گروه وابسته به وزارت اطلاعات طی سال ۲۰۲۵ به اوج فعالیت خود رسیده و با استفاده از بدافزارهای سفارشی مانند BugSleep و ابزارهای مدیریت از راه دور، به حملات گسترده علیه سازمان‌های دولتی، زیرساخت‌های حیاتی و شرکت‌های خصوصی در خاورمیانه، ترکیه، آذربایجان، اسرائیل و کشورهای اروپایی دست زده است. این گزارش‌ها دقیقاً در زمانی منتشر می‌شوند که پایگاه داده کامل دانشجویان راوین آکادمی - همان سازمانی که به‌عنوان خط تولید نیروی انسانی برای عملیات سایبری وزارت اطلاعات شناخته شده - به بیرون درز کرده است.

تحقیقات Group-IB نشان می‌دهد که گروه MuddyWater با استفاده از تکنیک‌های پیشرفته فیشینگ، استفاده از حساب‌های ایمیل به‌سرقت‌رفته، و بهره‌برداری از آسیب‌پذیری‌های شناخته‌شده، به طور سیستماتیک به سازمان‌های هدف نفوذ کرده و دسترسی طولانی‌مدت به شبکه‌های آن‌ها حفظ می‌کند. این گروه که از سال ۲۰۱۷ فعال است، در سال‌های اخیر رکورد جدیدی در تعداد کمپین‌های خود ثبت کرده و با استفاده از ابزارهای متن‌باز و تجاری قانونی، توانسته از شناسایی‌های امنیتی سنتی فرار کند.
انتشار همزمان این گزارش‌های بین‌المللی درباره فعالیت‌های گسترده MuddyWater و افشای پایگاه داده کامل دانشجویان راوین آکادمی، تصویری شفاف از چرخه سیستماتیک آموزش و به‌کارگیری عوامل سایبری توسط وزارت اطلاعات ارائه می‌دهد. این افشاگری که تنها چند روز مانده به برگزاری رویداد سالانه Tech Olympics راوین آکادمی در پارک پردیس تهران (۵ تا ۸ آبان) منتشر شده، طنز تلخی را نمایان می‌سازد: سازمانی که ادعای ارائه خدمات دفاع سایبری و آموزش امنیت را دارد، حتی نتوانسته از اطلاعات شخصی دانشجویان خود محافظت کند.

https://www.group-ib.com/blog/muddywater-espionage/

@NarimanGharib

یک پایگاه داده جامع حاوی لیست دانشجویان آکادمی راوین به صورت اختصاصی در اختیار من قرار گرفته است که اطلاعات شخصی دقیق افرادی را که در برنامه‌های آموزشی این آموزشگاه! ثبت‌نام نمودند، آشکار می‌سازد. این پایگاه داده یک دارایی اطلاعاتی حائز اهمیت محسوب می‌شود، زیرا توسعه سیستماتیک نیروی انسانی جهت استخدام احتمالی در عملیات سایبری وزارت اطلاعات را مستند می‌نماید. اشخاص شناسایی‌شده در این اطلاعات، منابع انسانی‌ای هستند که آکادمی راوین آنان را پرورش داده و به سوی فعالیت‌های سایبری مورد حمایت دولت علیه شهروندان ایرانی، رقبای منطقه‌ای و نهادهای بین‌المللی سوق می‌دهد. از اینجا بخوانید

A comprehensive database containing complete registration records of Ravin Academy students has been obtained by me, revealing detailed personal information of individuals enrolled in the organization's training programs. This database constitutes a significant intelligence asset, as it documents the systematic development of personnel for potential recruitment into MOIS cyber operations. The individuals identified in these records represent human resources that Ravin Academy cultivates and directs toward state-sponsored cyber activities targeting Iranian citizens, regional adversaries, and international entities on behalf of the Iranian government.

@NarimanGharib