MOIS использует киберпреступные инструменты, усложняя атрибуцию

Иранские активисты, связанные с Министерством разведки и безопасности (MOIS), переходят от имитации преступных методов к прямому использованию преступных инструментов и инфраструктуры. Этот сдвиг проявляется в деятельности групп, таких как MuddyWater и Void Manticore, которые начали применять коммерчески доступное ПО и задействовать уже существующие преступные сети для проведения операций.

Ключевые акторы и их тактики

Void Manticore известна своими операциями в стиле hack-and-leak и использовала личность «Handala» для прикрытия своих кампаний. В арсенале группы отмечены:

• infostealer Rhadamanthys — отмечается частыми обновлениями и относительно сложной архитектурой;

<li сочетание Rhadamanthys с пользовательским malware для операций по затиранию данных в рамках фишинговых кампаний, нацеленных на израильские организации.

MuddyWater традиционно ассоциировалась с шпионскими кампаниями против субъектов на Ближнем Востоке. Недавние исследования выявили её связи с рядом криминальных инструментов и группировок, что усложняет построение однозначных выводов об авторстве атак. Основные наблюдения:

• связь с Tsundere Botnet, который первоначально работал через Node.js и JavaScript-скрипты;
• появление варианта под названием DinDoor с переключением на Deno, что указывает на адаптацию технологий для повышения скрытности и эффективности;
• ассоциация с загрузчиком Castle Loader, который выступает как загрузчик для различных payload через общий набор code signing certificates — такая коллаборация скорее отражает общий рынок приобретения инструментов, чем прямую аффилиацию.

Примеры воздействия и сложности атрибуции

Практика использования криминального брендинга и сервисов позволяет государственным актерам получать оперативные преимущества и скрывать своё участие. Яркий пример — инцидент в октябре 2025 года, когда атака на израильский Шамирский медицинский центр изначально была воспринята как происшествие с ransomware. Первоначально считалось, что в атаке задействована группа Qilin, известная моделью ransomware-as-a-service, однако последующие оценки указывали на реальное участие иранских аффилиатов. Этот случай демонстрирует, как связанное с Ираном использование брендов программ-вымогателей затрудняет однозначную атрибуцию и одновременно служит стратегическим инструментом для достижения государственных целей.

«Они уже не просто маскируются под преступников, но активно используют преступные методологии, такие как malware, ransomware и модели типа аффилиатов, чтобы продвигать геополитические амбиции»

Последствия для безопасности и разведки

Интеграция связанных с MOIS акторов в экосистему киберпреступности предоставляет им значительные операционные преимущества и создает дополнительные уровни сложности для аналитиков и команд реагирования:

• усиление возможностей по проведению целевых атак за счёт доступа к зрелым преступным инструментам и инфраструктурам;
• затруднение атрибуции из‑за использования общедоступных инструментов, общих сертификатов и криминальных брендов;
• повышение риска для критической инфраструктуры и организаций, находящихся в фокусе геополитических интересов Ирана.

Вывод: вовлечение акторов, связанных с MOIS, в криминальную экосистему перешло в качественно новую фазу. Это уже не просто маскировка под преступные группы — это активное применение их инструментов и моделей взаимодействия, что делает киберугрозу более гибкой, скрытной и трудной для однозначного обнаружения и приписывания.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.