关键发现
- 2025年6月至8月期间,Proofpoint开始追踪一个名为UNK_SmudgedSerpent的先前未识别威胁行为者,其目标为学者和外交政策专家。
- UNK_SmudgedSerpent利用国内政治诱饵,包括伊朗的社会变革和伊斯兰革命卫队(IRGC)军事化调查。
- 该组织使用良性的对话启动器、健康主题的基础设施、OnlyOffice文件托管伪造和远程监控与管理(RMM)工具。
- 在整个调查过程中,UNK_SmudgedSerpent展示了与多个伊朗行为者相似的战术:TA455(C5 Agent,Smoke Sandstorm)、TA453(Charming Kitten,Mint Sandstorm)和TA450(MuddyWater,Mango Sandstorm)。
- 重叠的战术、技术和程序(TTP)阻碍了高置信度的归因,但有几个假设可以解释UNK_SmudgedSerpent与其他伊朗团体之间关系的性质。
概述
6月,Proofpoint威胁研究开始调查一封讨论伊朗经济不确定性和国内政治动荡的良性电子邮件。虽然与伊朗-以色列冲突的升级同时发生,但没有迹象表明观察到的活动与以色列对伊朗核设施的袭击或伊朗的回应行动直接相关。
对该活动的初步分析发现,其战术、技术和程序(TTP)与多个伊朗结盟团体重叠,包括TA455(C5 Agent,Smoke Sandstorm)、TA453(Mint Sandstorm,Charming Kitten)和TA450(MuddyWater,Mango Sandstorm)。由于缺乏与任何一个已建立威胁组织的高置信度链接,我们将该活动指定为一个临时集群,称为UNK_SmudgedSerpent。
感染链始于良性对话,随后是电子邮件交换和凭据收集尝试。在此初始凭据收集尝试之后,UNK_SmudgedSerpent继续在同一电子邮件线程内对特定目标进行钓鱼活动,并随后传递一个托管存档文件的URL,该文件包含一个加载RMM有效载荷的MSI。
伊朗关联
初始TA453线索
UNK_SmudgedSerpent在Proofpoint数据中首次识别的活动伪造了布鲁金斯学会的一名成员,于2025年6月中旬联系了一家美国智库的20多名成员。针对伊朗相关政策领域的特定主题专家通常是TA453活动的特征,特别是使用良性对话启动器。然而,针对单个组织的大量人员接触与Proofpoint威胁研究观察到的典型TA453技术不同。
在另一个与典型TA453活动的偏离中,目标组织的成员几乎涵盖了所有专业领域,包括国防、先进技术、经济安全和全球健康,以及区域特定专家。TA453主要关注中东政策话题,如伊朗核谈判或伊朗对外关系。无论每个收件人的专业如何,UNK_SmudgedSerpent都利用了相同的关于即将到来的伊朗社会改革的协作诱饵。
攻击者的方法冒充了苏珊娜·马洛尼(Suzanne Maloney)——布鲁金斯学会外交政策项目副总裁兼主任,伊朗专家——使用了一个Gmail地址和她名字的错误拼写版本“Suzzane Maloney”。
在收到回复后,Suzzane Maloney角色比Proofpoint在过去与TA453的互动中观察到的更为谨慎。攻击者坚持在继续进行任何协作尝试之前验证目标的身份和电子邮件地址的真实性。
随着接触的继续,该角色发送了一个约定的会议时间,使用以色列时间作为参考点,尽管目标位于美国。在交付阶段,行为者开始偏离TA453的典型TTP,并发送了一个看似属于“Suzzane Maloney”(再次拼写错误)的OnlyOffice URL链接,其中包含与即将举行的会议相关的文档。
向TA455的过渡
该URL仅在电子邮件中伪装成OnlyOffice链接,但实际上超链接到一个健康主题的攻击者域名thebesthomehealth[.]com,该域名重定向到第二个健康主题的攻击者域名mosaichealthsolutions[.]com,显示一个Microsoft 365登录页面。该URL托管了一个自定义的凭据收集页面,其中预加载了用户信息。
交付变体
在VirusTotal上可以找到此感染链的另一个版本,其中两个域名类似地用于Microsoft相关的重定向链。hxxps://thebesthomehealth[.]com/[redacted15characterstring]伪装成Microsoft Teams登录,然后重定向到mosaichealthsolutions[.]com域名。
然而,在撰写本文时,点击“立即加入”按钮后的后续阶段尚不清楚。
TA455继续
在Proofpoint的调查中,在目标表达了对凭据收集页面的怀疑后,UNK_SmudgedSerpent移除了初始thebesthomehealth[.]com URL的密码要求。该链接随后进入一个伪造的OnlyOffice登录页面。
点击“继续”或登录会加载另一个也托管在thebesthomehealth[.]com上的页面,该页面继续模仿OnlyOffice,并托管了两个PDF、一个Excel文档和一个ZIP存档。
UNK_SmudgedSerpent引用OnlyOffice URL和健康主题域名的行为让人联想到TA455活动。TA455至少从2024年10月开始注册健康相关域名,此前是一系列具有航空航天兴趣的域名,而OnlyOffice在2025年6月最近变得流行用于托管文件,如下面的时间线所示。
UNK_SmudgedSerpent域名于2025年4月开始出现,比6月观察到的首次活动早几周。
以TA450完成链条
执行时,UNK_SmudgedSerpent的ZIP存档加载了一个MSI文件,该文件启动了PDQConnect远程监控与管理(RMM)软件。其余文档似乎是诱饵。
在我们的研究过程中,威胁研究观察到UNK_SmudgedSerpent从事疑似手动键盘活动,攻击者利用PDQConnect安装额外的RMM软件ISL Online。
攻击者顺序部署两种不同RMM工具的原因尚不清楚。UNK_SmudgedSerpent可能在凭据收集尝试未成功后将RMM软件作为一次性选项部署,并且威胁行为者对Proofpoint的调查产生了怀疑。然而,在撰写本文时,这两种假设均无法确认。
虽然使用RMM是一种滥用常见合法工具的通用技术,但很少见到它们与国家支持的行为者相关联,并且在过去几年中仅有一个伊朗行为者TA450在活动中记录使用。
后续活动
在6月26日讨论的电子邮件交换结束之前,Proofpoint于6月23日识别出另一个伪造马洛尼博士(其名字拼写正确)的Gmail账户——suzannemaloney68@gmail[.]com——针对一名看似是以色列人的美国学者。在此诱饵中,UNK_SmudgedSerpent请求协助调查IRGC。
一周后,一个伪造帕特里克·克劳森(Patrick Clawson)——华盛顿研究所主任——的角色使用完全相同的内容针对同一学者,使用了patrickclawson51@gmail[.]com。
2025年8月初,UNK_SmudgedSerpent再次出现,这次是征求关于伊朗在拉丁美洲努力的信息和协作。该钓鱼邮件源自另一个帕特里克·克劳森的伪造,这次使用了Outlook电子邮件地址:patrick.clawson51@outlook[.]com。然而,签名中的电子邮件不匹配,并包含了潜在合法的电子邮件和先前使用的伪造电子邮件patrickclawson51@gmail[.]com。
下面的时间线显示了UNK_SmudgedSerpent活动的活动和节奏,这些活动似乎是主题性的和零星的。在针对20多人的初始接触之后,Proofpoint数据显示该行为者在后续活动中仅关注单个目标。
自8月初以来,未观察到该行为者的进一步活动。
基础设施
调查疑似UNK_SmudgedSerpent基础设施,如healthcrescent[.]com,发现了进一步使UNK_SmudgedSerpent与TA455的关系和重叠复杂化的额外活动。
healthcrescent[.]com与一组域名共享服务器配置相似性,包括显示虚假Teams门户的ebixcareers[.]com。职业主题的域名和Teams伪造都让人联想到先前的TA455活动。
相关URL类似于先前观察到的TA453活动,使用“会议”主题。hxxps://interview.ebixcareers[.]com/teams/join-online-room-homv-patm-elro/从以下OnlyOffice URL获取有效载荷:
hxxps://docspace-mpv1y2.onlyoffice[.]com/rooms/share?key=ZXVSTEhNKzM3NHBIeHg3R3M4cnBRcDFDUnk0b[…]0_Ijg4YzkzZTRhLWNmYzktNGJkMy1iYzYyLWY2NWY0OTczNTBlZCI
9月中旬托管在此页面上的文件包括波音公司的良性招聘相关PDF,这是TA455涉及航空航天和职业兴趣操作的传统方面。
Hiring Portal.zip包含两个DLL和一个可执行文件;合法的EXE旁加载userenv.dll,并通过另一个合法的EXE旁加载xmllite.exe。userenv.dll是TA455自定义后门,在公开报告中称为MiniJunk,是先前报告的名为MiniBike的恶意软件版本。虽然该基础设施可能与UNK_SmudgedSerpent一致,但尚不清楚为何同时托管TA455自定义恶意软件。
托管在OnlyOffice URL上的最终文件是Interview time.msi,一个负责安装RMM工具PDQConnect的加载器,在UNK_SmudgedSerpent和TA450活动中均有部署,但先前未发现与TA455关联。
对与UNK_SmudgedSerpent活动相关的基础设施和操作的探索进一步模糊了归因界限以及与TA455关系的性质。
归因
Proofpoint威胁研究目前将此活动作为一个新的威胁行为者——UNK_SmudgedSerpent——单独跟踪,并与TA453、TA455和TA450明显区分。尽管在感染链的各个阶段与已建立的威胁行为者存在若干重叠,如下所示,但在某些情况下,由于缺乏高置信度链接,它们仍然薄弱。
| TTP | UNK_SmudgedSerpent | TA453 | TA455 | TA450 |
|---|---|---|---|---|
| 发件人电子邮件 | 免费邮件(Outlook, Gmail) | 免费邮件(Outlook, Gmail, ProtonMail, Yahoo) | 攻击者自有域名 | 被入侵的企业账户 |
| 初始接触 | 良性对话 | 良性对话 | 恶意招聘申请 | 恶意活动邀请 |
| 目标 | 政策专家、智库 | 政策专家、智库 | 航空航天与国防、运输/物流、技术 | 政府、电信、运输 |
| 交付 | OnlyOffice伪造、Teams伪造 | Teams伪造、Scalingo、OneDrive | OnlyOffice | Mega.nz、FliQR |
| 目标 | 凭据盗窃、恶意软件交付 | 凭据盗窃、恶意软件交付 | 恶意软件交付 | 恶意软件交付 |
| 域名主题 | 健康和招聘、组织伪造 | 组织、会议、Google、Microsoft和技术伪造 | 健康、航空航天和招聘 | 技术、其他 |
| 基础设施 | Cloudflare、Namecheap | Hetzner、OVH、RouterHosting、Namecheap | Cloudflare、Namecheap | NordVPN、Cloudflare Namecheap |
| 恶意软件 | RMM(PDQConnect) | PowerShell后门(偶尔) | 自定义后门(MiniJunk、MINIBIKE、MINIBUS) | RMM、自定义PowerShell和.NET后门(Phoenix) |
鉴于伊朗生态系统的动态性质及其对承包公司的广泛使用,团体、活动、恶意软件和基础设施经常出现交叉的情况。我们假设对于该团体TTP融合有几种可能性,其可能性各不相同,包括:
- 集中采购:一个注册和分发基础设施的共享资源或共享恶意软件开发者。
- 人员流动:一个团体解散,另一个团体吸收团队成员,或者团体基于新要求或共享职责合并。
- 人际关系:同一团队的个别成员有TTP偏好,操作员彼此分享他们偏好的技术。
- 并行承包商部署:母公司/赞助机构将一个特定威胁团体或活动任务分配给多个承包公司。
- 机构协作:由于团体与不同机构的关联,IRGC和MOIS在组织层面进行跨机构交流。
结论
UNK_SmudgedSerpent首次观察到的活动是在2025年6月,之后该团体几次出现,针对美国的政策专家,使用关于伊朗内部政治发展的诱饵。随后的调查揭示了与TA453、TA450和TA455在TTP上的多重重叠。然而,丰富的链接阻碍了高置信度地归因于这些团体中的任何一个。
虽然自2025年8月以来未在电子邮件活动中观察到UNK_SmudgedSerpent,但相关活动可能仍在进行。一个借用技术的新行为者的出现表明团队之间可能存在人员流动或交流,但职责一致;然而,在撰写本文时,UNK_SmudgedSerpent没有确认的归因。TTP和基础设施是先前观察到的伊朗威胁团体行为的延伸,针对伊朗外交政策专家继续反映了伊朗政府的情报收集重点。
ET规则
(此处省略了具体的ET规则列表,因其为内部检测规则标识符)
指标
UNK_SmudgedSerpent
| 指标 | 类型 | 描述 | 首次出现 |
|---|---|---|---|
| suzzanemaloney@gmail[.]com | 电子邮件地址 | 钓鱼 | 2025年6月 |
| suzannemaloney68@gmail[.]com | 电子邮件地址 | 钓鱼 | 2025年6月 |
| patrickclawson51@gmail[.]com | 电子邮件地址 | 钓鱼 | 2025年6月 |
| patrick.clawson51@outlook[.]com | 电子邮件地址 | 钓鱼 | 2025年8月 |
| hxxps://suzzanemaloney2506090953.onlyoffice[.]com/s.-k6vjflsdagdsfgh | URL | 交付 | 2025年6月 |
| thebesthomehealth[.]com | 域名 | 交付 | 2025年4月 |
| mosaichealthsolutions[.]com | 域名 | 交付 | 2025年4月 |
| healthcrescent[.]com | 域名 | 交付 | 2025年5月 |
| ebixcareers[.]com | 域名 | 交付 | 2025年7月 |
| 6eb7df21d6f1e3546c252a112504eefbb19205167db89038f2861118bbc8871c | SHA256 | 良性PDF | 2025年9月 |
| 0bdb64fc1d5533f7b3fffaf821e89f286ad2d7400a914f21abdcbb7bb8a39e63 | SHA256 | 良性PDF | 2025年9月 |
| cac018dccdf6ce4bef19ab71e3e737724aed104bc824332a5213c878b065ff50 | SHA256 | EXE | 2025年9月 |
| 7b5fb8202bff90398ab007579713f66430778249e43b46f35df6c3ded628f129 | SHA256 | DLL | 2025年9月 |
| 129a40e38ef075c7d33d8517b268eb023093c765a32e406b58f39fab6cc6a040 | SHA256 | DLL | 2025年9月 |
| 85858880ee7659cc1152b6a126bc20b9b4fb1b46dddea5af2d65d48d58cd058 | SHA256 | MSI | 2025年9月 |
| 0fcdaa2f4db94e0589617830d3d80430627815ef0e4b0c7b7ff5c1ebb82a4136 | SHA256 | 良性PDF | 2025年9月 |
| 1e9c31ce0eba2100d416f5bc3b97dafe2da0d3d9aee96de59ec774365fe3fe89 | SHA256 | ZIP | 2025年9月 |
TA455
| 指标 | 类型 | 描述 | 首次出现 |
|---|---|---|---|
| emiratesgroup-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| flydubai-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| airbusgroup-careers[.]com | 域名 | 相关基础设施 | 2024年5月 |
| gocareers[.]org | 域名 | 相关基础设施 | 2024年6月 |
| rheinmetallcareers[.]com | 域名 | 相关基础设施 | 2024年6月 |
| careers2find[.]com | 域名 | 相关基础设施 | 2024年6月 |
| opportunities2get[.]com | 域名 | 相关基础设施 | 2024年6月 |
| emiratescareers[.]org | 域名 | 相关基础设施 | 2024年7月 |
| droneflywell[.]com | 域名 | 相关基础设施 | 2024年7月 |
| usa-careers[.]com | 域名 | 相关基础设施 | 2024年8月 |
| careers-hub[.]org | 域名 | 相关基础设施 | 2024年9月 |
| global-careers[.]com | 域名 | 相关基础设施 | 2024年9月 |
| ehealthpsuluth[.]com | 域名 | 相关基础设施 | 2024年9月 |
| worldcareers[.]org | 域名 | 相关基础设施 | 2024年9月 |
| uavnodes[.]com | 域名 | 相关基础设施 | 2024年9月 |
| careersworld[.]org | 域名 | 相关基础设施 | 2024年9月 |
| thecareershub[.]org | 域名 | 相关基础设施 | 2024年9月 |
| germanywork[.]org | 域名 | 相关基础设施 | 2024年9月 |
| easymarketing101[.]com | 域名 | 相关基础设施 | 2024年9月 |
| collaboromarketing[.]com | 域名 | 相关基础设施 | 2024年9月 |
| virgomarketingsolutions[.]com | 域名 | 相关基础设施 | 2024年9月 |
| marketinglw[.]com | 域名 | 相关基础设施 | 2024年9月 |
| anteromarketing[.]com | 域名 | 相关基础设施 | 2024年9月 |
| airbusaerodefence[.]nl | 域名 | 相关基础设施 | 2024年11月 |
| dronetechasia[.]org | 域名 | 相关基础设施 | 2024年11月 |
| asiandefenses[.]com | 域名 | 相关基础设施 | 2024年11月 |
| msnclouds[.]com | 域名 | 相关基础设施 | 2024年11月 |
| kibanacore[.]com | 域名 | 相关基础设施 | 2024年11月 |
| boeingspace[.]com | 域名 | 相关基础设施 | 2024年11月 |
| airbusaerodefence[.]com | 域名 | 相关基础设施 | 2024年12月 |
| jadehealthcenter[.]com | 域名 | 相关基础设施 | 2024年12月 |
| clearmindhealthandwellness[.]com | 域名 | 相关基础设施 | 2025年1月 |
| accountroyal[.]com | 域名 | 相关基础设施 | 2025年1月 |
| msnapp[.]help | 域名 | 相关基础设施 | 2025年1月 |
| msnapp[.]live | 域名 | 相关基础设施 | 2025年1月 |
| zytonhealth[.]com | 域名 | 相关基础设施 | 2025年2月 |
| alwayslivehealthy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthiestmama[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthcarefluent[.]com | 域名 | 相关基础设施 | 2025年2月 |
| healthinfusiontherapy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| mojavemassageandwellness[.]com | 域名 | 相关基础设施 | 2025年2月 |
| chakracleansetherapy[.]com | 域名 | 相关基础设施 | 2025年2月 |
| bodywellnessbycynthia[.]com | 域名 | 相关基础设施 | 2025年2月 |
| palaerospace[.]careers | 域名 | 相关基础设施 | 2025年2月 |
| rhealthylivingsolutions[.]com | 域名 | 相关基础设施 | 2025年4月 |
| sulumorbusinessservices[.]com | 域名 | 相关基础设施 | 2025年4月 |
| airbushiring[.]com | 域名 | 相关基础设施 | 2025年4月 |
| joinboeing[.]com | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]org | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年5月 |
| rheinmetallcareer[.]com | 域名 | 相关基础设施 | 2025年5月 |
| careers-portal[.]org | 域名 | 相关基础设施 | 2025年5月 |
| boeinginformation[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年5月 |
| airbus-careers[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年6月 |
| airbus-survay[.]onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |
| malebachhew2506090936.onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |
| randcorp.onlyoffice[.]com | 域名 | 相关基础设施 | 2025年7月 |