Iráni csoport izraeli vizeken
Az elmúlt évben a Mandiant nyomon követte az UNC3890-et, egy olyan kiberszereplőt, amely izraeli hajózási, kormányzati, energetikai és egészségügyi szervezeteket céloz meg social engineering módszerekkel. A Mandiant értékelése szerint ez a szereplő „mérsékelt bizonyosággal” kapcsolódik Iránhoz, ami figyelemre méltó, tekintettel a hajózásra való erős összpontosításra és az Irán és Izrael között zajló tengeri konfliktusra. A Madiant jelentésben taglalt kampány legalább 2020 vége óta aktív, és még mindig folyamatban van, és bár regionális jellegű, a célzott szervezetek között globális vállalatok is vannak. Az UNC3890 legalább két egyedi eszközt használ: egy backdoort, amelyet SUGARUSH-nak neveztek el, és egy információlopót, amely a Gmail, Yahoo és Yandex e-mail szolgáltatásokon keresztül lopott adatokat szivárogtat ki. Utóbbit SUGARDUMP-nak nevezte el a Madiant. A Mandiant felfedezte, hogy az UNC3890 a Command-and-Control (C2) szerverek egymással összekapcsolt hálózatát működteti. A Madiant blogbejegyzése részletesen ismerteti az UNC3890 tevékenységét, beleértve a saját fejlesztésű rosszindulatú szoftvereket, TTP-ket, valamint a vizsgálat során azonosított, nyilvánosan elérhető eszközöket. A Mandiant továbbra is nyomon követi az UNC3890, valamint ugyanazon fenyegető szereplő más, potenciálisan kapcsolódó tevékenységcsoportjait.