伊朗黑客利用RMM工具定向攻击学者与政策专家

Proofpoint威胁研究团队发现了一个先前未知的伊朗威胁行为者，代号UNK_SmudgedSerpent，该组织在2025年6月至8月期间针对学者和外交政策专家开展了复杂的网络钓鱼活动。

攻击手法分析

该组织采用凭证收集技术、复杂的社会工程学和远程管理工具渗透目标，展现出一系列与已知伊朗威胁组织重叠的复杂战术。

攻击始于2025年6月，Proofpoint研究人员发现有针对美国智库20多名成员发送的讨论伊朗经济不确定性和政治动荡的 benign 邮件。威胁行为者冒充布鲁金斯学会外交政策项目副总裁兼主任Suzanne Maloney，使用故意拼写错误的Gmail地址“Suzzane Maloney”。

精密的社会工程学

感染链展示了先进的操作技巧。在通过关于伊朗政策合作的 benign 对话建立初步联系后，攻击者要求凭证验证，并使用以色列时区安排会议，尽管目标是美国分析师。

攻击者随后发送伪装成OnlyOffice链接的URL，这些链接实际上重定向到健康主题的攻击者域名，包括thebesthomehealth.com和mosaichealthsolutions.com。这些域名托管着预加载用户信息的定制凭证收集页面，增加了成功入侵的可能性。

RMM工具的使用

当目标对凭证收集页面产生怀疑时，UNK_SmudgedSerpent迅速调整策略，移除密码要求并转向仿冒的OnlyOffice登录页面。攻击者随后托管包含Microsoft安装程序（MSI）文件的恶意压缩包，这些文件加载了合法的远程监控和管理（RMM）工具PDQConnect。

随后的手动操作涉及部署第二个RMM平台ISL Online，表明在初始入侵尝试失败后采取了冗余或应急计划。

与其他威胁组织的关联

调查显示该组织与三个已知伊朗威胁组织存在战术重叠：TA453（Charming Kitten）、TA455（C5 Agent）和TA450（MuddyWater）。这些重叠阻碍了明确归因，但暗示了潜在的操作联系。

UNK_SmudgedSerpent针对政策专家和使用 benign 对话开场的方式与TA453的方法论相符，而使用健康主题域名和OnlyOffice基础设施则类似于TA455的操作。然而，RMM工具的部署与TA450记录在案的战术一致——这使得RMM使用特别重要，因为它在国家支持的行为者中仍然罕见。

持续针对伊朗专家

除了最初的布鲁金斯学会活动，UNK_SmudgedSerpent表现出对伊朗政策专业知识的持续兴趣。该组织冒充了其他人物，包括正确拼写的Suzanne Maloney博士和华盛顿研究所主任Patrick Clawson，针对有以色列联系的美国学者。

2025年8月，该行为者转向寻求关于伊朗在拉丁美洲行动的合作，再次使用跨Gmail和Outlook的仿冒Patrick Clawson账户。

结论

该活动零星但有意的目标模式表明机构对了解外国对伊朗政府活动、军事行动和地区影响力的观点感兴趣。

尽管自2025年8月以来未检测到进一步的UNK_SmudgedSerpent活动，但研究人员认为相关行动很可能仍在继续。Proofpoint的发现突显了伊朗网络行动的不断演进 sophistication，以及对分析伊朗政府意图和能力政策专家的持续针对性。