Иранская хакерская группа запустила ИИ-кампанию против чиновников Ирака
Изображение: recraft
Хакерская группа, которую специалисты связывают с Ираном, развернула атаку против иракских госслужащих. Злоумышленники выдавали себя за Министерство иностранных дел Ирака и использовали инструменты генерации текста и кода. Удар пришёлся по государственной инфраструктуре: заражённые ресурсы применялись для размещения вредоносных файлов и распространения заражения дальше по сети.
Кампанию в январе 2026 года обнаружили аналитики Zscaler ThreatLabz. Активность отслеживается под названием Dust Specter. Исследователи связывают группу с Ираном с умеренной или высокой вероятностью. В ходе разбора специалисты нашли ранее не описанные вредоносные программы — SplitDrop, TwinTask, TwinTalk и GhostForm. До этого эти инструменты публично не фиксировались.
Эксперты обратили внимание на признаки применения генеративных систем при создании кода. Внутри файлов обнаружены характерные фрагменты и повторяющиеся шаблоны, которые могут говорить об автоматической сборке или редактировании отдельных частей программы. Это косвенно указывает на использование современных ИИ-инструментов для ускорения разработки вредоносных модулей.
Атака строится по двум разным цепочкам.
Первая начинается с рассылки архива mofa-Network-code.rar, защищённого паролем. Внутри находится 32-битный файл на платформе .NET, замаскированный под программу WinRAR. Этот исполняемый модуль получил название SplitDrop. После запуска он инициирует дальнейшее заражение системы.
SplitDrop выполняет функцию загрузчика для 2 библиотек — TwinTask и TwinTalk. TwinTask регулярно проверяет локальный файл на наличие новых команд и запускает их через PowerShell. Это позволяет закрепиться в системе и выполнять указания операторов. TwinTalk отвечает за связь с сервером управления, запрашивает инструкции, координирует работу модулей и отправляет отчёты обратно. Оба компонента действуют параллельно и используют файловый механизм обмена командами.
В отчёте от 2 марта аналитики Zscaler ThreatLabz сообщили, что домен сервера управления TwinTalk применялся группой Dust Specter ещё в июле 2025 года. Тогда на нём размещалась страница, имитирующая приглашение на конференцию Cisco Webex. Посетителю предлагали скачать официальную программу Webex и выбрать вариант для госучреждений, затем выполнить указанные действия для получения идентификатора встречи. Этот приём относится к методам обмана, когда человека убеждают кликнуть по ссылке и выполнить инструкцию.
Вторая цепочка объединяет функции первой в одном файле. В качестве приманки используются формы Google Forms. Команды с сервера выполняются PowerShell-скриптами прямо в оперативной памяти. Это уменьшает количество следов на жёстком диске и усложняет обнаружение стандартными средствами защиты.
