Proofpoint Threat Research đã phát hiện một tấn công mạng mới từ một tác nhân đe dọa chưa xác định của Iran, có biệt danh UNK_SmudgedSerpent. Nhóm này đã tiến hành các chiến dịch lừa đảo tinh vi nhắm vào giới học giả và chuyên gia chính sách đối ngoại từ tháng 6 đến tháng 8 năm 2025.

Chiến dịch này sử dụng các kỹ thuật thu thập thông tin đăng nhập (credential harvesting), kỹ thuật xã hội phức tạp và các công cụ quản lý từ xa. Mục tiêu là xâm nhập vào các hệ thống, cho thấy một mạng lưới phức tạp gồm các chiến thuật chồng chéo, gợi nhớ đến các nhóm đe dọa Iran đã được biết đến.

Giới Thiệu về UNK_SmudgedSerpent và Chiến dịch Phishing

Khởi đầu Chiến dịch và Mục tiêu

Chiến dịch bắt đầu vào tháng 6 năm 2025. Các nhà nghiên cứu của Proofpoint đã phát hiện các email ban đầu thảo luận về bất ổn kinh tế và chính trị ở Iran. Những email này được gửi tới hơn 20 thành viên của một tổ chức tư vấn có trụ sở tại Hoa Kỳ.

Tác nhân đe dọa đã mạo danh Suzanne Maloney, phó chủ tịch và giám đốc chương trình Chính sách Đối ngoại tại Viện Brookings. Địa chỉ Gmail giả mạo sử dụng một lỗi chính tả cố ý: “Suzzane Maloney”.

Chiến thuật Giả mạo và Nội dung Lừa đảo

Những kẻ tấn công đã sử dụng các mồi nhử chính trị trong nước. Nội dung tập trung vào những thay đổi xã hội ở Iran và một cuộc điều tra về việc quân sự hóa Vệ binh Cách mạng Hồi giáo (IRGC).

Điều này cho thấy mục tiêu cụ thể nhằm vào những đối tượng có kiến thức và quan tâm đến tình hình nội bộ của Iran, từ đó tăng khả năng thành công của cuộc tấn công phishing.

Chuỗi Lây nhiễm và Kỹ thuật Thu thập Thông tin Đăng nhập

Tiếp cận Ban đầu và Kỹ thuật Xã hội Tinh vi

Chuỗi lây nhiễm thể hiện kỹ năng nghiệp vụ tiên tiến. Sau khi thiết lập liên hệ ban đầu bằng các cuộc trò chuyện về hợp tác chính sách Iran, kẻ tấn công yêu cầu xác minh thông tin đăng nhập và lên lịch các cuộc họp.

Đáng chú ý, các cuộc họp này được lên lịch theo múi giờ Israel, mặc dù các nhà phân tích mục tiêu đều có trụ sở tại Hoa Kỳ.

Chuyển hướng đến Tên miền Giả mạo

Kẻ tấn công sau đó đã cung cấp các URL giả mạo dưới dạng liên kết OnlyOffice. Tuy nhiên, các liên kết này thực chất chuyển hướng đến các tên miền tấn công có chủ đề sức khỏe, bao gồm thebesthomehealth[.]com và mosaichealthsolutions[.]com.

Các tên miền này lưu trữ các trang thu thập thông tin đăng nhập tùy chỉnh, đã được tải sẵn thông tin người dùng. Việc này làm tăng đáng kể khả năng thành công của hành vi xâm nhập.

Thích nghi Nhanh chóng của UNK_SmudgedSerpent

Khi các mục tiêu bắt đầu nghi ngờ về các trang thu thập thông tin đăng nhập, UNK_SmudgedSerpent đã nhanh chóng thích nghi. Nhóm này đã loại bỏ yêu cầu mật khẩu và chuyển sang các trang đăng nhập OnlyOffice bị giả mạo.

Sự thích nghi này cho thấy khả năng phản ứng linh hoạt và liên tục điều chỉnh chiến thuật của tác nhân đe dọa để duy trì hiệu quả tấn công.

Triển khai Công cụ Quản lý Từ xa (RMM) và Liên kết APT

Sử dụng File MSI và Công cụ PDQConnect

Kẻ tấn công sau đó đã lưu trữ các kho lưu trữ độc hại chứa các tệp Microsoft Installer (MSI). Các tệp này đã tải PDQConnect, một công cụ Giám sát và Quản lý Từ xa (RMM) hợp pháp.

Việc sử dụng các công cụ hợp pháp cho mục đích độc hại là một chiến thuật phổ biến giúp kẻ tấn công tránh bị phát hiện ban đầu.

Triển khai ISL Online và Các Hoạt động Tiếp theo

Hoạt động “hands-on-keyboard” tiếp theo liên quan đến việc triển khai ISL Online, một nền tảng RMM thứ hai. Điều này có thể cho thấy sự dự phòng hoặc kế hoạch dự phòng sau khi các nỗ lực xâm nhập ban đầu không thành công.

Việc triển khai nhiều công cụ RMM cũng có thể là dấu hiệu của một mối đe dọa mạng dai dẳng và quyết tâm duy trì quyền truy cập vào hệ thống của nạn nhân.

Sự Chồng chéo với Các Nhóm APT Iran Đã Biết

Cuộc điều tra đã tiết lộ các chiến thuật chồng chéo với ba nhóm đe dọa Iran đã được biết đến: TA453 (Charming Kitten), TA455 (C5 Agent) và TA450 (MuddyWater). Sự chồng chéo này ngăn cản việc xác định rõ ràng tác giả nhưng gợi ý các kết nối hoạt động tiềm năng.

• Cách tiếp cận của UNK_SmudgedSerpent nhằm vào các chuyên gia chính sách và sử dụng các cuộc trò chuyện ban đầu phù hợp với phương pháp của TA453.
• Việc sử dụng các tên miền có chủ đề sức khỏe và cơ sở hạ tầng OnlyOffice tương tự như các hoạt động của TA455.
• Tuy nhiên, việc triển khai các công cụ RMM phù hợp với các chiến thuật đã được ghi nhận của TA450. Điều này đặc biệt quan trọng vì việc sử dụng RMM còn hiếm giữa các tác nhân do nhà nước tài trợ. Tham khảo thêm về hoạt động của nhóm tại đây.

Các Mục tiêu Tiếp theo và Mối Quan tâm Chiến lược

Mở rộng Mục tiêu và Giả mạo Nhân vật

Ngoài chiến dịch ban đầu nhắm vào Viện Brookings, UNK_SmudgedSerpent còn thể hiện sự quan tâm bền bỉ đối với các chuyên gia chính sách về Iran.

Nhóm này đã giả mạo thêm các nhân vật khác, bao gồm Tiến sĩ Suzanne Maloney (viết đúng chính tả) và Patrick Clawson, giám đốc tại Viện Washington. Các mục tiêu tiếp theo là các học giả Hoa Kỳ có mối liên hệ với Israel.

Chuyển Hướng Mục tiêu sang Hoạt động ở Mỹ Latinh

Vào tháng 8 năm 2025, tác nhân này đã chuyển hướng sang tìm kiếm sự hợp tác về các hoạt động của Iran ở Mỹ Latinh. Nhóm tiếp tục sử dụng các tài khoản Patrick Clawson giả mạo trên cả Gmail và Outlook.

Mô hình nhắm mục tiêu ngắt quãng nhưng có chủ đích của chiến dịch cho thấy mối quan tâm thể chế trong việc tìm hiểu quan điểm nước ngoài về các hoạt động của chính phủ Iran, các chiến dịch quân sự và ảnh hưởng trong khu vực.

Phân tích và Kết luận từ Proofpoint

Kể từ tháng 8 năm 2025, không có hoạt động nào khác của UNK_SmudgedSerpent được phát hiện. Tuy nhiên, các nhà nghiên cứu tin rằng các hoạt động liên quan có khả năng vẫn tiếp diễn.

Các phát hiện của Proofpoint làm nổi bật sự tinh vi ngày càng tăng của các hoạt động mạng của Iran. Đồng thời, nó nhấn mạnh việc nhắm mục tiêu dai dẳng vào các chuyên gia chính sách phân tích ý định và năng lực của chính phủ Iran.

Sự phức tạp của việc quy kết trong hệ sinh thái này phản ánh các ưu tiên thu thập tình báo rộng lớn hơn của chính phủ Iran. Nó cũng cho thấy khả năng tái tổ chức hoặc trao đổi nhà thầu giữa các nhóm đe dọa hoạt động dưới sự tài trợ của nhà nước. Đây là một ví dụ rõ ràng về threat intelligence quan trọng cần được theo dõi liên tục.

Indicators of Compromise (IOCs)

Các tên miền được sử dụng trong chiến dịch thu thập thông tin đăng nhập của UNK_SmudgedSerpent bao gồm:

• thebesthomehealth[.]com
• mosaichealthsolutions[.]com