Một nhóm tin tặc được cho là có liên hệ với Iran đã bị quy kết thực hiện một chiến dịch tấn công nhằm vào các quan chức chính phủ Iraq. Nhóm này giả mạo Bộ Ngoại giao của quốc gia này để phát tán một bộ malware chưa từng được biết đến trước đây.
Zscaler ThreatLabz, đơn vị đã quan sát hoạt động này vào tháng 1 năm 2026, đang theo dõi nhóm này dưới tên Dust Specter. Các cuộc tấn công, biểu hiện dưới hai chuỗi lây nhiễm khác nhau, lên đến đỉnh điểm là việc triển khai các malware có tên SPLITDROP, TWINTASK, TWINTALK và GHOSTFORM.
"Dust Specter đã sử dụng các đường dẫn URI được tạo ngẫu nhiên cho giao tiếp C2 (command-and-control) với các giá trị checksum được nối vào các đường dẫn URI để đảm bảo rằng các yêu cầu này bắt nguồn từ một hệ thống bị nhiễm thực sự," nhà nghiên cứu bảo mật Sudeep Singh cho biết. "Máy chủ C2 cũng sử dụng các kỹ thuật geofencing và xác minh User-Agent."
Một khía cạnh đáng chú ý của chiến dịch là việc thỏa hiệp cơ sở hạ tầng liên quan đến chính phủ Iraq để dàn dựng các payload độc hại, chưa kể đến việc sử dụng các kỹ thuật né tránh để trì hoãn việc thực thi và hoạt động dưới radar.
Chuỗi tấn công đầu tiên: SPLITDROP, TWINTASK và TWINTALK
Chuỗi tấn công đầu tiên bắt đầu bằng một tệp lưu trữ RAR được bảo vệ bằng mật khẩu, bên trong đó có một .NET dropper tên là SPLITDROP, đóng vai trò là kênh dẫn cho TWINTASK, một module worker, và TWINTALK, một C2 orchestrator.
TWINTASK: Module Worker
TWINTASK là một DLL độc hại ("libvlc.dll") được sideload bởi tệp nhị phân hợp pháp "vlc.exe" để định kỳ thăm dò một tệp ("C:\ProgramData\PolGuid\in.txt") cứ sau 15 giây để tìm các lệnh mới và chạy chúng bằng PowerShell. Điều này cũng bao gồm các lệnh để thiết lập persistence trên host thông qua các thay đổi Windows Registry. Đầu ra của script và các lỗi được ghi lại trong một tệp văn bản riêng biệt ("C:\ProgramData\PolGuid\out.txt").
TWINTALK: C2 Orchestrator
Khi khởi chạy lần đầu, TWINTASK được thiết kế để thực thi một tệp nhị phân hợp pháp khác có trong tệp lưu trữ được giải nén ("WingetUI.exe"), khiến nó sideload DLL TWINTALK ("hostfxr.dll"). Mục tiêu chính của nó là liên hệ với máy chủ C2 để lấy các lệnh mới, phối hợp các tác vụ với TWINTASK và exfiltrate kết quả trở lại máy chủ. Nó hỗ trợ khả năng ghi phần thân lệnh từ phản hồi C2 vào "in.txt", cũng như tải xuống và tải lên tệp.
"C2 orchestrator hoạt động song song với module worker đã mô tả trước đó để triển khai một cơ chế thăm dò dựa trên tệp được sử dụng để thực thi mã," Singh cho biết. "Khi thực thi, TWINTALK đi vào một vòng lặp beaconing và trì hoãn thực thi bằng một khoảng ngẫu nhiên trước khi thăm dò máy chủ C2 để lấy các lệnh mới."
Chuỗi tấn công thứ hai: GHOSTFORM
Chuỗi tấn công thứ hai đại diện cho một sự phát triển của chuỗi đầu tiên, hợp nhất tất cả các chức năng của TWINTASK và TWINTALK thành một tệp nhị phân duy nhất có tên GHOSTFORM. Nó sử dụng việc thực thi PowerShell script trong bộ nhớ để chạy các lệnh được truy xuất từ máy chủ C2, từ đó loại bỏ nhu cầu ghi các artifact vào đĩa.
Đó không phải là yếu tố khác biệt duy nhất giữa hai chuỗi tấn công. Một số tệp nhị phân GHOSTFORM đã được tìm thấy là nhúng một Google Forms URL được mã hóa cứng, tự động khởi chạy trên trình duyệt web mặc định của hệ thống ngay khi malware bắt đầu thực thi. Biểu mẫu này có nội dung được viết bằng tiếng Ả Rập và giả mạo một cuộc khảo sát chính thức từ Bộ Ngoại giao Iraq.
Phân tích mã nguồn của TWINTALK và GHOSTFORM của Zscaler cũng đã phát hiện sự hiện diện của các giá trị placeholder, emoji và văn bản Unicode, cho thấy các công cụ AI tạo sinh có thể đã được sử dụng để hỗ trợ phát triển malware.
Chiến thuật và mối liên hệ với Iran
Hơn nữa, tên miền C2 liên quan đến TWINTALK, "meetingapp[.]site," được cho là đã được các tác nhân Dust Specter sử dụng trong một chiến dịch vào tháng 7 năm 2025 để lưu trữ một trang mời họp Cisco Webex giả mạo, hướng dẫn người dùng sao chép, dán và chạy một PowerShell script để tham gia cuộc họp. Các hướng dẫn này phản ánh một chiến thuật thường thấy trong các cuộc tấn công kỹ thuật xã hội kiểu ClickFix.
Phần PowerShell script này tạo một thư mục trên host, và cố gắng tìm nạp một payload không xác định từ cùng tên miền và lưu nó dưới dạng tệp thực thi trong thư mục mới được tạo. Nó cũng tạo một tác vụ theo lịch trình để chạy tệp nhị phân độc hại cứ sau hai giờ.
Các kết nối của Dust Specter với Iran dựa trên thực tế rằng các nhóm hacker Iran có lịch sử phát triển các .NET backdoor nhẹ tùy chỉnh để đạt được mục tiêu của chúng. Việc sử dụng cơ sở hạ tầng chính phủ Iraq bị thỏa hiệp đã được quan sát trong các chiến dịch trước đây liên quan đến các tác nhân đe dọa như OilRig (còn gọi là APT34).
"Chiến dịch này, được quy kết với mức độ tin cậy từ trung bình đến cao cho Dust Specter, có khả năng nhắm mục tiêu vào các quan chức chính phủ bằng cách sử dụng các mồi nhử kỹ thuật xã hội thuyết phục giả mạo Bộ Ngoại giao Iraq," Zscaler cho biết. "Hoạt động này cũng phản ánh các xu hướng rộng hơn, bao gồm các kỹ thuật kiểu ClickFix và việc sử dụng ngày càng tăng của AI tạo sinh để phát triển malware."
