MarkiRAT
A Recorded Future Insikt Group kutatása szerint az iráni kötődésű TAG-182 megfigyelő műveleteket folytat iráni állampolgárok, ellenzéki aktivisták és külföldön élő iráni közösségek ellen a MarkiRAT kártevő segítségével. A malware-t hamis VPN- és médialejátszó-alkalmazások – például Pis2rayVPN, YEPlayer és YESHICA YEPlayer – mögé rejtik, amelyeket főként Instagramon és más közösségi platformokon terjesztenek. A kampány különösen azután erősödött fel, hogy Irán 2026 májusában részlegesen helyreállította a nemzetközi internet-hozzáférést, és a hatóságok fokozták a belső megfigyelési tevékenységet.
A kutatók szerint a MarkiRAT új változata számos technikai egyezést mutat a korábban a Ferocious Kitten csoporthoz kötött verziókkal, továbbra is a BITSAdmin szolgáltatást használja payloadok letöltésére, a svehost.exe állománnyal biztosít perzisztenciát, és PHP-alapú C2 infrastruktúrával kommunikál. A Recorded Future ugyanakkor egyelőre nem tekinti bizonyítottnak, hogy a TAG-182 és a Ferocious Kitten ugyanaz a szervezet, de a közös infrastruktúra, a malware-fejlődési vonal és a célpontok alapján valószínűsíthető közöttük az operatív kapcsolat. A jelentés részletes infrastruktúra-elemzést, IOC-kat is ismertet.