СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
18.12.2025
#ИБ

APT35: бюрократичная модель киберопераций и финансирования

Недавние утечки оперативных документов проливают свет на организацию и методы иранской кибергруппировки APT35, также известной как Charming Kitten. В отличие от образа «хаотичных хакеров», материалы описывают тщательно отстроенную систему управления инфраструктурой, где каждая аренда сервера, регистрация домена и транзакция фиксируется и отслеживается.

Бюрократическая структура операций

Документы изображают APT35 как методичную организацию с внутренними процедурами, близкими к бухгалтерскому учету: ресурсы выдаются, используются и списываются в рамках бюджетных ограничений. Такой подход ставит операции под контроль и снижает риск непреднамеренной компрометации кампаний.

«бюрократический подход к кибероперациям»

Это не просто метафора: в утекших файлах встречаются записи об управлении арендованными серверами, зарегистрированных доменах и журналах транзакций — свидетельства системного сопровождения кампаний.

Экономика атак: микроплатежи и «подписка» на операции

В материалах подробно описаны финансовые механизмы, обеспечивающие постоянную работу инфраструктуры. Часть транзакций проходит через платежного провайдера Cryptomus, что позволяет проводить анонимные микро‑платежи. По документам, это поддерживает модель регулярных расходов, которая больше похожа на подписку на кибероперационные ресурсы, чем на разовые крупные вливания.

  • Использование микроплатежей для аренды серверов и покупки доменов;
  • Пополнение средств малыми суммами через Cryptomus для сохранения анонимности;
  • Организационная дисциплина расходов, позволяющая непрерывно поддерживать кампании.

Moses Staff: целенаправленные операции психологической войны

Одно из подразделений APT35, известное как Moses Staff, систематически нацелено на широкую аудиторию в Израиле — от военнослужащих до муниципальных чиновников. Эти кампании соответствуют принципам иранской доктрины асимметричной войны: воздействие через эксплуатацию уязвимостей и информационное влияние без прямой военной конфронтации.

По документам, операции Moses Staff не носят случайный характер: они планируются с целью максимального эффекта и продвигают нарративы, выгодные интересам Ирана.

Тактики и технические методологии

Утечки также дают представление о практических методах APT35. Группа применяет комбинацию разведки, целевого фишинга и оперативных мер для поддержания конфиденциальности и эффективности атак.

  • Разведка и «active scanning» перед атаками (термин из платформы MITRE ATT&CK);
  • Использование фишинговых страниц и специализированных доменов для первоначального доступа;
  • Создание одноразовых учетных записей и идентификаторов — каждое из них создаётся для конкретной задачи и затем уничтожается, что повышает OPSEC;
  • Оперативное закрепление при помощи одноразовых аккаунтов ProtonMail;
  • Маскировка и социальная инженерия: подмена имён и доменов, похожих на организации из Израиля, США или Европы, для усиления доверия целей.

Одноразовые идентификационные данные и привязка доменов к краткоживущим e‑mail аккаунтам демонстрируют стремление минимизировать следы и увеличить живучесть кампаний.

Что это значит для безопасности и разведки

Просочившиеся материалы подчёркивают, что анализ угроз должен выходить за рамки чисто технической оценки вредоносного ПО или отдельных тактик. Важна способность понимать административную и финансовую инфраструктуру, которая обеспечивает устойчивость операций:

  • Киберразведке нужно отслеживать не только Indicators of Compromise, но и финансовые и инфраструктурные паттерны;
  • Оценка угроз должна учитывать операционные модели, подобные «подписке», которые поддерживают долгосрочные кампании;
  • Организации следует усиливать осведомлённость сотрудников о целевых фишинговых кампаниях и маскировочных приёмах, характерных для APT35.

Вывод

APT35 (Charming Kitten) представляет собой пример новой волны спонсируемых государством киберопераций, где традиционные бюрократические методы сочетаются с современными технологическими инструментами. Эта двойственность — технологическая мощь плюс дисциплинированная административная поддержка — требует от мирового сообщества кибербезопасности адаптации методов анализа и реагирования. Понимание того, «как» и «чем» управляются такие кампании, становится столь же важным, как и понимание того, «кто» их проводит.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: