伊朗"SmudgedSerpent"APT组织钓鱼美国政策专家

伊朗正在监视美国外交政策影响者。但具体是伊朗政府的哪个高级持续性威胁（APT）组织所为，目前仍是个谜。

精准定位的攻击行动

2025年夏季，伊朗针对美国知名智库发起了高度针对性的网络钓鱼攻击。在6月至8月期间，伊朗政府监视了美国学术界和外交政策专家，希望收集战略情报。

Proofpoint暂时将该组织标记为"UNK_SmudgedSerpent"，因为其战术、技术和程序（TTPs）与伊朗大多数主要APT组织存在重叠。该组织瞄准的目标与TA453（又名Charming Kitten、Mint Sandstorm）相同，并借鉴了其网络钓鱼方法。另一方面，它使用了与TA455（Smoke Sandstorm）对齐的基础设施。而且除了TA450（MuddyWater、Mango Sandstorm）之外，它是唯一已知部署远程监控和管理（RMM）软件的伊朗威胁行为者。

攻击手法分析

精心设计的钓鱼诱饵

布鲁金斯学会外交政策项目副总裁兼主任Suzanne Maloney在X个人简介中自称是"伊朗迷"。UNK_SmudgedSerpent显然做了功课，意图冒充这位在美国伊朗事务讨论中的核心人物。

2025年6月中旬，该组织试图使用稍微拼写错误的Gmail账户和精心设计的电子邮件签名来冒充Maloney。它向另一个美国智库的20名成员发送了电子邮件，使用了现在已显老套的提供项目合作策略。在其他后期案例中，黑客冒充经济学家和中东学者Patrick Clawson，使用的诱饵更直接地涉及伊朗地缘政治事务。

复杂的攻击链条

如果目标上钩，UNK_SmudgedSerpent会首先审查他们，然后发送伪装成开源生产力平台OnlyOffice或Microsoft Teams链接的恶意URL。通过可疑的重定向，该链接会跳转到Microsoft 365凭证钓鱼页面，其中预先加载了受害者的电子邮件和其雇主的徽标以增强真实性。

在Proofpoint观察到的攻击链中，受害者对Microsoft门户表示怀疑，因此UNK_SmudgedSerpent采取了双重手段。它试图让受害者下载诱饵文档和zip文件，声称这些文件与虚假合作计划相关。该zip文件包含RMM安装程序，奇怪的是，UNK_SmudgedSerpent随后部署了第二个RMM。

研究人员难以解释这一行为。报告指出：“UNK_SmudgedSerpent可能在凭证窃取尝试未成功后部署RMM软件作为备用选项，而且威胁行为者可能对Proofpoint的调查产生了怀疑。”

身份谜团

最奇怪的是，整个情况在已知伊朗威胁活动背景下显得异常。研究人员将攻击的第一阶段——UNK_SmudgedSerpent针对的人员类型、钓鱼消息的语气、使用的电子邮件提供商、虚假的Microsoft Teams链接以及窃取凭证和投放恶意软件的目标——描述为高度让人联想到通常被称为Charming Kitten的组织。但OnlyOffice部分以及支持攻击的所有基础设施，看起来更像是TA455的手笔。

更令人困惑的是，他们指出，在伊朗所有与政府结盟的威胁行为者中，只有MuddyWater已知会利用RMM。

组织身份的重要性

Proofpoint就为什么UNK_SmudgedSerpent如此顽固地拒绝归入某一类别提出了几种假设。例如，可能是伊朗政府内部的一个或多个网络团队已经解散、合并或以其他方式重组，成员随身带来了专业技能。

另一种解释是，可能存在某个中央实体帮助多个组织处理其基础设施或恶意软件。或者，也许伊斯兰革命卫队（IRGC）和情报部（MOIS）——这两个机构容纳了政府的网络威胁行为者——之间存在合作或交流的因素。

Proofpoint高级威胁研究员Saher Naumaan表示：“虽然伊朗的协助组织或承包商通常是特定于机构的，但也有为IRGC和MOIS双方服务的学院或培训组织的例子，这意味着技能或技术不仅可以在团队间共享，还可以在机构间共享。”

对Naumaan来说，确切知道谁 behind 此类攻击不仅具有学术意义。它对于情报驱动的安全方法至关重要，而且不太明显的是，“归因在商业意义上对组织的领导者和主管来说很重要，可以为网络安全和威胁情报的财务和资源投资提供理由。对于具有特定威胁模型的给定公司，攻击者之前已经针对该 sector 或地理区域的类似组织，并可能再次攻击，这为该组织面临的现实威胁、潜在入侵可能是什么样子以及预防入侵的可操作步骤提供了证据。”

她承认"归因的影响确实难以量化，但很难防御你不理解的威胁。"