СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:39
#ИБ#ИИ

Dust Specter: APT-кампания против МИД Ирака с SPLITDROP и GHOSTFORM

В январе 2026 года исследователи ThreatLabZ зафиксировали кампанию, приписываемую предполагаемо связанной с Ираном APT-группе Dust Specter. Злоумышленники целенаправленно атаковали правительственных чиновников в Ираке, действуя под видом Министерства иностранных дел Ирака и используя компрометированные элементы правительственной инфраструктуры для распространения вредоносного ПО.

«ThreatLabZ отслеживал деятельность, связанную с предполагаемой связью с Ираном APT‑группировкой ‘Dust Specter’, нацеленную на правительственных чиновников в Ираке».

Ключевые инструменты и тактики

В кампании были задействованы недавно описанные вредоносные компоненты: SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM. Их поведение и сочетание приёмов соответствуют ранее наблюдавшимся иранским операционным моделям APT.

  • SPLITDROP — дроппер на основе .NET, который инициирует атаку, вводя жертву в заблуждение посредством запроса пароля. SPLITDROP использует шифрование AES-256 для сокрытия полезной нагрузки и при выполнении условий расшифровывает и разворачивает встроенные компоненты.
  • TWINTASK — рабочий модуль, который опрашивает команды из указанного текстового файла, выполняет сценарии PowerShell и регистрирует результаты. Для закрепления на системе он вносит изменения в реестр, обеспечивая автозапуск при перезагрузке.
  • TWINTALK — оркестратор управления (C2), использующий уникальные пути URI и проверку по пользовательскому агенту для снижения вероятности обнаружения. Запросы содержат токен аутентификации, сгенерированный во время выполнения, включающий идентификатор и версию бота.
  • GHOSTFORM — RAT, объединяющий функционал предыдущей цепочки в одном исполняемом файле. GHOSTFORM выполняет команды, полученные от C2, непосредственно в памяти, что минимизирует следы на диске. Он применяет отложенное выполнение через «невидимую форму» и генерирует идентификатор бота на основе временной метки .NET assembly, в отличие от стохастического подхода TWINTALK.

Две цепочки атак

Аналитики выделяют две отдельные цепочки атак:

  • Первая: запуск через SPLITDROP, который разворачивает TWINTASK (агент) и TWINTALK (C2). Эта связка ориентирована на устойчивую телеметрию и проверку запросов посредством встроенного токена.
  • Вторая: использование GHOSTFORM как самостоятельного RAT, совмещающего сбор и исполнение команд в памяти, с иной методикой генерации идентификатора бота и дополнительными приёмами уклонения.

Методы уклонения и социальная инженерия

Обе цепочки демонстрируют широкое применение методов скрытности и обхода детектирования:

  • передача управляющих сигналов в трафике с использованием уникальных URI и проверки пользовательского агента;
  • рандомизированные задержки и кодирование выполнения команд;
  • выполнение команд в памяти (file‑less подход), минимизирующее артефакты на диске;
  • применение отложенного выполнения и «невидимой формы» в GHOSTFORM для отсрочки обнаружения;
  • включение элементов социальной инженерии — использована тактика в стиле ClickFix style, при которой пользователей принуждают выполнить вредоносные действия.

Отмечается также растущий интерес злоумышленников к использованию генеративного искусственного интеллекта при разработке вредоносного ПО, что повышает скорость создания и вариативность инструментов.

Атрибуция и цели

Приписывание кампании Dust Specter основано на сочетании факторов: сходстве инструментов и приёмов с ранее известными операциями, нацеленности на правительственный сектор Ирака — в частности, Министерство иностранных дел — и устойчивых оперативных методах, характерных для групп, связанных с Ираном.

Выводы

Анализ ThreatLabZ подчёркивает растущую изощрённость операций: злоумышленники комбинируют технические приёмы скрытности и устойчивости с социально-инженерными подходами, чтобы обеспечить успешное внедрение и длительное присутствие в целевых сетях. Наблюдаемые компоненты (SPLITDROP, TWINTASK, TWINTALK, GHOSTFORM) демонстрируют эволюцию инструментов, где ориентир смещается в сторону более гибких, труднообнаруживаемых и модульных архитектур.

Организациям в регионе и особенно целевым ведомствам рекомендуется повысить внимание к контролю целевого трафика, мониторингу аномалий в поведении процессов и применять многофакторную верификацию для операций, требующих ввода учетных данных или выполнения команд пользователем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: