交叉的线索：伊朗网络间谍活动与归因案例分析

关键发现

• 2025年6月至8月，Proofpoint开始追踪一个先前未被识别的、代号为UNK_SmudgedSerpent的威胁行为体，其目标为学者和外交政策专家。
• UNK_SmudgedSerpent利用与伊朗国内政治相关的诱饵，包括社会变革和伊斯兰革命卫队（IRGC）军事化调查。
• 该组织使用了看似无害的对话开场白、健康主题的基础设施、仿冒的OnlyOffice文件托管服务以及远程监控与管理工具。
• 在整个调查过程中，UNK_SmudgedSerpent展现出与多个伊朗威胁行为体相似的技术、战术和程序：TA455（C5 Agent， Smoke Sandstorm）、TA453（Charming Kitten， Mint Sandstorm）和TA450（MuddyWater， Mango Sandstorm）。
• 重叠的TTPs使得高置信度归因变得困难，但有几种假说可以解释UNK_SmudgedSerpent与其他伊朗组织之间的关系性质。

概述 六月，Proofpoint威胁研究团队开始调查一封关于伊朗经济不确定性和国内政治动荡的看似无害的电子邮件。尽管活动时间与伊朗-以色列冲突升级的时间点重合，但没有迹象表明观察到的活动与以色列对伊朗核设施的攻击或伊朗的回应行动直接相关。

对活动的初步分析发现，其技术、战术和程序与多个伊朗关联组织存在重叠，包括TA455、TA453和TA450。由于缺乏与任何一个已知威胁组织的高置信度联系，我们将此活动暂时归类为一个代号为UNK_SmudgedSerpent的集群。

图1. 带有已知行为体重叠的UNK_SmudgedSerpent感染链。

感染链始于一段无害的对话，随后是邮件往来和一次凭据盗取尝试。在初次凭据盗取尝试后，UNK_SmudgedSerpent继续在同一邮件线程内针对同一目标进行钓鱼活动，随后投递一个托管了包含MSI文件的压缩包链接，该MSI文件加载了RMM（远程监控与管理）载荷。

伊朗关联 初步的TA453线索 Proofpoint数据中识别的UNK_SmudgedSerpent首个活动，在2025年6月中旬仿冒布鲁金斯学会的一名成员，向一个美国智库的20多名成员发送邮件。针对伊朗相关政策领域的特定主题专家，通常是TA453活动的特点，尤其是在使用无害对话开场白时。然而，向单个组织的众多成员发送邮件，偏离了Proofpoint威胁研究团队对典型TA453技术的观察。

另一个偏离典型TA453活动的地方是，目标组织的成员涵盖了几乎所有专业领域，包括国防、先进技术、经济安全、全球健康以及区域专家。TA453主要关注中东政策话题，如伊朗核谈判或伊朗对外关系。无论每位收件人的专业领域是什么，UNK_SmudgedSerpent都使用了相同的关于伊朗即将进行社会改革的协作诱饵。

攻击者的方法仿冒了布鲁金斯学会外交政策项目副总裁兼主任、伊朗问题专家苏珊娜·马洛尼，使用了一个拼写错误的Gmail地址（“Suzzane Maloney”）。

图2. UNK_SmudgedSerpent的初步接触邮件。

收到回复后，“Suzzane Maloney”这个仿冒身份比Proofpoint过去在与TA453互动中观察到的更为谨慎。攻击者坚持在继续进行任何协作尝试之前，先验证目标的身份和邮箱地址的真实性。

图3. UNK_SmudgedSerpent的跟进邮件。

随着互动继续，该仿冒身份发送了一个会议安排时间，使用了以色列时间作为参考点，尽管目标位于美国。在投递阶段，攻击者开始偏离TA453的典型TTPs，发送了一个看似属于“Suzzane Maloney”（名字再次拼错）的OnlyOffice链接，其中包含与即将举行的会议相关的文档。

图4. UNK_SmudgedSerpent的URL投递。

向TA455的转变 该URL仅在邮件中伪装成OnlyOffice链接，实际上超链接指向一个健康主题的攻击者域名 thebesthomehealth[.]com，该域名重定向到第二个健康主题的攻击者域名 mosaichealthsolutions[.]com，后者显示了一个微软365登录页面。URL托管了一个自定义的凭据盗取页面，并预加载了用户信息。

图5. 自定义的微软凭据盗取页面。

投递变体 另一个版本的感染链可以在VirusTotal上找到，两个域名以类似方式用于与微软相关的重定向链。hxxps://thebesthomehealth[.]com/[被遮蔽的15个字符的字符串] 伪装成一个微软Teams登录页面，然后重定向到 mosaichealthsolutions[.]com 域名。

图6. 微软Teams会议仿冒（来自VirusTotal）。

然而，截至撰写本文时，点击“立即加入”按钮后的后续阶段尚不清楚。

TA455的延续 在Proofpoint的调查中，当目标表达了对凭据盗取页面的怀疑后，UNK_SmudgedSerpent移除了初始 thebesthomehealth[.]com URL的密码要求。随后链接跳转到一个仿冒的OnlyOffice登录页面。

图7. UNK_SmudgedSerpent的OnlyOffice登录仿冒页面。

点击“继续”或登录后，会加载同样托管在 thebesthomehealth[.]com 上的另一个页面，该页面继续模仿OnlyOffice，并托管了两个PDF文档、一个Excel文档和一个ZIP压缩包。

图8. 托管在thebesthomehealth[.]com上的文件。

UNK_SmudgedSerpent对OnlyOffice URL和健康主题域名的使用让人联想到TA455的活动。TA455至少从2024年10月开始注册健康相关域名，此前则持续注册与航空航天相关的域名，而使用OnlyOffice托管文件则在2025年6月变得更加流行，如下方时间线所示。

图9. TA455域名注册/首次发现时间线（2024年5月 – 2025年7月）。

UNK_SmudgedSerpent的域名最早出现在2025年4月，比6月首次观察到的活动早了几周。

以TA450完成链条 执行后，UNK_SmudgedSerpent的ZIP压缩包加载了一个MSI文件，该文件启动了PDQConnect远程监控与管理软件。其他文档似乎是诱饵。

在研究过程中，威胁研究团队观察到UNK_SmudgedSerpent疑似进行了“手敲键盘”活动，攻击者利用PDQConnect安装了额外的RMM软件ISL Online。

图10. ISL Online RMM弹窗。

攻击者顺序部署两种不同RMM工具的原因尚不清楚。可能是UNK_SmudgedSerpent在凭据盗取尝试未成功且威胁行为体开始怀疑Proofpoint的调查后，将RMM软件作为一次性选项部署。然而，截至撰写本文时，这些假设均无法证实。

虽然使用RMM是一种滥用合法通用工具的技术，但很少见到其与国家支持的行为体关联，并且有记录显示，过去几年中仅有一个伊朗行为体（TA450）在活动中使用过RMM。

后续活动 在上述邮件往来于6月26日结束之前，Proofpoint在6月23日识别出另一个仿冒马洛尼博士（名字拼写正确）的Gmail账户——suzannemaloney68@gmail[.]com——针对一名看似是以色列人的美国学者。在此诱饵中，UNK_SmudgedSerpent请求协助调查IRGC。

图11. 第二封UNK_SmudgedSerpent钓鱼邮件。

一周后，一个仿冒华盛顿研究所主任帕特里克·克劳森的不同身份，使用 patrickclawson51@gmail[.]com 发送了完全相同的内容，针对同一学者。

2025年8月初，UNK_SmudgedSerpent再次出现，这次是征求关于伊朗在拉丁美洲行动的信息和合作。钓鱼邮件来自另一个仿冒帕特里克·克劳森的身份，这次使用的是Outlook邮箱地址：patrick.clawson51@outlook[.]com。然而，邮件签名中的邮箱地址并不匹配，包含了可能是合法的邮箱地址以及之前使用过的仿冒邮箱 patrickclawson51@gmail[.]com。

图12. UNK_SmudgedSerpent帕特里克·克劳森仿冒身份 #2。

下方时间线显示了UNK_SmudgedSerpent的活动和节奏，似乎是主题性的、偶发性的。在最初针对20多人的接触之后，Proofpoint数据显示该行为体在后续活动中只专注于单个目标。

图13. UNK_SmudgedSerpent钓鱼活动时间线。

自8月初以来，未再观察到该行为体的进一步活动。

基础设施 调查疑似与UNK_SmudgedSerpent相关的基础设施，例如 healthcrescent[.]com，发现了进一步的活动，这使得UNK_SmudgedSerpent与TA455的关系和重叠更加复杂。

healthcrescent[.]com 在服务器配置上与一组域名（包括 ebixcareers[.]com）存在相似性，后者显示了一个虚假的Teams门户。这个职业主题的域名和Teams仿冒都让人联想到之前TA455的活动。

图14. 虚假Teams门户登录页面。

相关的URL类似于先前观察到的TA453活动，使用了“会议”主题。hxxps://interview.ebixcareers[.]com/teams/join-online-room-homv-patm-elro/ 从以下OnlyOffice URL获取载荷：

hxxps://docspace-mpv1y2.onlyoffice[.]com/rooms/share?key=ZXVSTEhNKzM3NHBIeHg3R3M4cnBRcDFDUnk0b[…]0_Ijg4YzkzZTRhLWNmYzktNGJkMy1iYzYyLWY2NWY0OTczNTBlZCI

图15. 托管在OnlyOffice URL上的文件。

9月中旬托管在该页面上的文件包括与波音公司招聘相关的无害PDF，这是TA455涉及航空航天和职业兴趣的传统操作方面。

图16. 无害的PDF文件。

Hiring Portal.zip 包含两个DLL文件和一个可执行文件；合法的EXE通过旁加载 userenv.dll，并通过另一个合法的EXE旁加载 xmllite.exe。userenv.dll 是TA455的自定义后门，在公开报告中被称为MiniJunk，是之前报告的名为MiniBike的恶意软件的一个版本。虽然该基础设施很可能与UNK_SmudgedSerpent一致，但目前尚不清楚它为何同时托管TA455的自定义恶意软件。

托管在OnlyOffice URL上的最终文件是 Interview time.msi，这是一个负责安装RMM工具PDQConnect的加载器，曾在UNK_SmudgedSerpent和TA450的活动中被部署，但之前未见与TA455关联。

对与UNK_SmudgedSerpent活动相关的基础设施和操作的探索，进一步模糊了归属界限及其与TA455的关系性质。

归因 Proofpoint威胁研究团队目前正在将此活动作为一个新的威胁行为体——UNK_SmudgedSerpent——进行单独追踪，并将其与TA453、TA455和TA450明确区分开。虽然在感染链的各个阶段与已建立的威胁行为体存在多处重叠（如下所示），但在某些情况下，由于缺乏高置信度的联系，这些重叠仍然显得薄弱。

考虑到伊朗网络生态系统动态变化的特性及其对合同公司的广泛使用，经常会出现组织、活动、恶意软件和基础设施相互交叉的情况。我们假设，对于该组织TTPs的聚合现象，存在几种可能性，其可能性各不相同：

1. 集中采购：一个共享资源，负责注册和分发基础设施，或是一个共享的恶意软件开发者。
2. 人员流动：一个组织解散，其成员被另一个组织吸收；或者组织基于新的要求或共同的职责范围进行合并。
3. 人际关系：同一团队的成员有各自的TTP偏好，操作者之间分享他们偏好的技术。
4. 平行承包商部署：上级/赞助机构将一个特定威胁组织或活动任务分配给多个合同公司。
5. 机构间协作：由于这些组织隶属于不同的机构，伊朗伊斯兰革命卫队（IRGC）与情报部（MOIS）之间在组织层面进行跨机构交流。

结论 UNK_SmudgedSerpent首次被观察到的活动是在2025年6月，之后该组织几次被观察到利用伊朗国内政治发展的诱饵，针对美国的政策专家。随后的调查揭示了其在TTPs上与TA453、TA450和TA455存在多处重叠。然而，众多的关联点使得难以高置信度地将其归因于其中任何一个组织。

虽然自2025年8月以来未再观察到UNK_SmudgedSerpent的邮件活动，但相关活动很可能仍在进行。一个带有借用技术的新行为体的出现，暗示团队之间可能存在人员流动或交流，但其职责范围保持一致；然而，截至撰写本文时，尚未对UNK_SmudgedSerpent进行确认的归因。其TTPs和基础设施是先前观察到的伊朗威胁组织行为的延伸，而针对伊朗外交政策专家的目标定位，继续反映了伊朗政府的情报搜集优先事项。

ET规则 （此处省略了具体的ET规则列表，内容为威胁检测规则的ID和描述）

威胁指标 （此处省略了具体的IoC列表，内容为邮箱地址、域名、URL及文件哈希值，分别对应UNK_SmudgedSerpent和TA455。）