Egy iráni kémelhárítási művelet leleplezése
A Mandiant 2024. augusztus 28-án részleteket közölt egy feltételezett, Iránnal kapcsolatos kémelhárítási műveletről, amelynek célja, hogy adatokat gyűjtsön olyan irániakról és belföldi fenyegetésekről, akik együttműködhetnek a külföldi, különösen az izraeli hírszerző és biztonsági ügynökségekkel. A kampány által gyűjtött adatok támogathatják az iráni hírszerző apparátust abban, hogy olyan személyeket találjanak, akik érdekeltek abban, hogy együttműködjenek Irán vélt ellenfeleivel. Az összegyűjtött adatok felhasználhatók az Irán ellen folytatott HUMINT műveletek leleplezésére és az e műveletekben való részvétellel gyanúsított irániak üldözésére. Ezek közé tartozhatnak iráni disszidensek, aktivisták, emberi jogi aktivisták és az Iránban és azon kívül élő fárszi nyelvet beszélők.
A Mandiant a taktikák, technikák és eljárások (TTP-k), témák és célpontok alapján nagy valószínűséggel úgy ítéli meg, hogy ezt a kampányt az iráni rezsim nevében hajtották végre. Emellett gyenge átfedést figyeltek meg a kampány és az APT42 csoport között, amely egy Iránnal kapcsolatban álló kiberszereplő, és amelyről feltételezhető, hogy az iráni IRGC hírszerző szervezet (IRGC-IO) nevében tevékenykedik. A kampány tevékenységei összhangban vannak az iráni IRGC és az APT42 múltjával, amely az iráni kormány számára érdekes belföldi fenyegetések és személyek elleni megfigyelési műveleteket hajtott végre. Az APT42 lehetséges kapcsolata ellenére a Mandiant nem észlelt kapcsolatot a tevékenység és az amerikai választásokkal kapcsolatos célzott támadások között, amint arról korábban a Google fenyegetéselemző csoportja beszámolt.
A tevékenység során több közösségi médiafiókot használtak több mint 35 hamis toborzó weboldal hálózatának terjesztésére, amelyek kiterjedt perzsa csalitartalmat tartalmaztak, beleértve állásajánlatokat és Izraellel kapcsolatos csalikat, például izraeli nemzeti szimbólumok, hi-tech irodák és nagyvárosok nevezetességeinek képeit. Belépéskor a megcélzott felhasználóknak meg kell adniuk személyes adataikat, valamint szakmai és egyetemi tapasztalataikat, amelyeket aztán elküldenek a támadóknak. A feltételezett kémelhárítási műveletek már 2017-ben megkezdődtek, és legalább 2024 márciusáig tartottak. A múltban hasonló kampányokat indítottak arab nyelven, amelyek a szíriai és a Hezbollah hírszerző és biztonsági szervekkel kapcsolatban álló személyeket célozták meg. Ez arra utalhat, hogy Irán kémelhárítási tevékenységei túlmutatnak saját biztonsági és hírszerző apparátusán, esetleg szíriai és libanoni szövetségesei támogatására.
