Một nhóm hoạt động đe dọa chưa từng thấy có tên mã UNK_SmudgedSerpent được cho là đứng sau một loạt các cuộc tấn công mạng nhắm vào các học giả và chuyên gia chính sách đối ngoại từ tháng 6 đến tháng 8 năm 2025, trùng với thời điểm căng thẳng địa chính trị gia tăng giữa Iran và Israel.
"UNK_SmudgedSerpent đã sử dụng các mồi nhử chính trị trong nước, bao gồm sự thay đổi xã hội ở Iran và điều tra về việc quân sự hóa Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC)," nhà nghiên cứu bảo mật Saher Naumaan của Proofpoint cho biết trong một báo cáo mới được chia sẻ với The Hacker News.
Công ty an ninh mạng này cho biết chiến dịch có những điểm tương đồng về chiến thuật với các cuộc tấn công trước đây được thực hiện bởi các nhóm gián điệp mạng của Iran như TA455 (còn gọi là Smoke Sandstorm hoặc UNC1549), TA453 (còn gọi là Mint Sandstorm hoặc Charming Kitten), và TA450 (còn gọi là MuddyWater hoặc Mango Sandstorm).
Các tin nhắn email mang tất cả dấu hiệu của một cuộc tấn công Charming Kitten cổ điển, với việc các tác nhân đe dọa dụ dỗ các mục tiêu tiềm năng bằng cách tham gia vào các cuộc trò chuyện vô hại trước khi cố gắng lừa đảo lấy thông tin đăng nhập của họ.
Trong một số trường hợp, các email được phát hiện chứa các URL độc hại nhằm lừa nạn nhân tải xuống một trình cài đặt MSI mà, trong khi giả mạo là Microsoft Teams, cuối cùng lại triển khai phần mềm Remote Monitoring and Management (RMM) hợp pháp như PDQ Connect, một chiến thuật thường được MuddyWater áp dụng.
Proofpoint cho biết các tin nhắn kỹ thuật số này cũng đã mạo danh các nhân vật chính sách đối ngoại nổi tiếng của Hoa Kỳ liên kết với các viện nghiên cứu như Brookings Institution và Washington Institute để tạo vỏ bọc hợp pháp và tăng khả năng thành công của cuộc tấn công.
Mục tiêu của những nỗ lực này là hơn 20 chuyên gia về các vấn đề chính sách liên quan đến Iran của một viện nghiên cứu có trụ sở tại Hoa Kỳ. Trong ít nhất một trường hợp, tác nhân đe dọa, sau khi nhận được phản hồi, được cho là đã yêu cầu xác minh danh tính của mục tiêu và tính xác thực của địa chỉ email trước khi tiếp tục hợp tác.
"Tôi đang liên hệ để xác nhận liệu một email gần đây bày tỏ sự quan tâm đến dự án nghiên cứu của viện chúng tôi có thực sự do bạn gửi hay không," email viết. "Tin nhắn được nhận từ một địa chỉ dường như không phải là email chính của bạn, và tôi muốn đảm bảo tính xác thực trước khi tiếp tục."
Sau đó, những kẻ tấn công đã gửi một liên kết đến các tài liệu mà chúng tuyên bố sẽ được thảo luận trong một cuộc họp sắp tới. Tuy nhiên, việc nhấp vào liên kết sẽ đưa nạn nhân đến một trang đích giả mạo được thiết kế để thu thập thông tin đăng nhập tài khoản Microsoft của họ.
Trong một biến thể khác của chuỗi lây nhiễm, URL bắt chước trang đăng nhập Microsoft Teams cùng với nút "Join now". Tuy nhiên, các giai đoạn tiếp theo được kích hoạt sau khi nhấp vào nút cuộc họp giả định vẫn chưa rõ ràng ở giai đoạn này.
Proofpoint lưu ý rằng kẻ thù đã loại bỏ yêu cầu mật khẩu trên trang thu thập thông tin đăng nhập sau khi mục tiêu "truyền đạt sự nghi ngờ," thay vào đó trực tiếp đưa họ đến một trang đăng nhập OnlyOffice giả mạo được lưu trữ trên "thebesthomehealth[.]com."
"Việc UNK_SmudgedSerpent tham chiếu đến các URL của OnlyOffice và các tên miền liên quan đến sức khỏe gợi nhớ đến hoạt động của TA455," Naumaan cho biết. "TA455 đã bắt đầu đăng ký các tên miền liên quan đến sức khỏe ít nhất từ tháng 10 năm 2024 sau một loạt các tên miền liên quan đến hàng không vũ trụ, với OnlyOffice trở nên phổ biến để lưu trữ các tệp gần đây hơn vào tháng 6 năm 2025."
Trên trang OnlyOffice giả mạo có một tệp lưu trữ ZIP chứa trình cài đặt MSI, sau đó sẽ khởi chạy PDQ Connect. Các tài liệu khác, theo công ty, được đánh giá là mồi nhử.
Có bằng chứng cho thấy UNK_SmudgedSerpent đã tham gia vào hoạt động "hands-on-keyboard" để cài đặt các công cụ RMM bổ sung như ISL Online thông qua PDQ Connect. Lý do đằng sau việc triển khai tuần tự hai chương trình RMM riêng biệt vẫn chưa được biết.
Các email lừa đảo khác được gửi bởi tác nhân đe dọa đã nhắm mục tiêu vào một học giả có trụ sở tại Hoa Kỳ, tìm kiếm sự hỗ trợ trong việc điều tra IRGC, cũng như một cá nhân khác vào đầu tháng 8 năm 2025, mời hợp tác tiềm năng trong việc nghiên cứu "Vai trò mở rộng của Iran ở Mỹ Latinh và những tác động chính sách của Hoa Kỳ."
"Các chiến dịch này phù hợp với hoạt động thu thập thông tin tình báo của Iran, tập trung vào phân tích chính sách phương Tây, nghiên cứu học thuật và công nghệ chiến lược," Proofpoint cho biết. "Hoạt động này gợi ý về sự hợp tác đang phát triển giữa các thực thể tình báo Iran và các đơn vị mạng, đánh dấu một sự thay đổi trong hệ sinh thái gián điệp của Iran."
