Nghiên cứu mới từ Broadcom's Symantec và Carbon Black Threat Hunter Team đã phát hiện bằng chứng về một nhóm tin tặc Iran xâm nhập vào mạng lưới của một số công ty Hoa Kỳ, bao gồm các ngân hàng, sân bay, tổ chức phi lợi nhuận và chi nhánh tại Israel của một công ty phần mềm.
Hoạt động này được cho là do nhóm tin tặc do nhà nước bảo trợ tên là MuddyWater (còn gọi là Seedworm) thực hiện. Nhóm này có liên kết với Bộ Tình báo và An ninh Iran (MOIS). Chiến dịch được đánh giá là bắt đầu vào đầu tháng 2, với các hoạt động gần đây được phát hiện sau các cuộc tấn công quân sự của Hoa Kỳ và Israel vào Iran.
“Công ty phần mềm là nhà cung cấp cho ngành công nghiệp quốc phòng và hàng không vũ trụ, cùng nhiều ngành khác, và có sự hiện diện tại Israel, với hoạt động của công ty tại Israel dường như là mục tiêu trong hoạt động này,” nhà cung cấp bảo mật cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các cuộc tấn công nhắm vào công ty phần mềm, cũng như một ngân hàng Hoa Kỳ và một tổ chức phi lợi nhuận của Canada, được phát hiện đã mở đường cho một backdoor chưa từng được biết đến trước đây có tên Dindoor, sử dụng môi trường thời gian chạy JavaScript Deno để thực thi. Broadcom cho biết họ cũng xác định một nỗ lực để exfiltrate dữ liệu từ công ty phần mềm bằng cách sử dụng tiện ích Rclone đến một Wasabi cloud storage bucket. Tuy nhiên, hiện tại vẫn chưa rõ liệu nỗ lực này có thành công hay không.
Cũng được tìm thấy trong mạng lưới của một sân bay Hoa Kỳ và một tổ chức phi lợi nhuận là một backdoor Python riêng biệt có tên Fakeset, được tải xuống từ các máy chủ thuộc Backblaze, một công ty lưu trữ đám mây và sao lưu dữ liệu của Mỹ. Chứng chỉ kỹ thuật số được sử dụng để ký Fakeset cũng đã được sử dụng để ký mã độc Stagecomp và Darkcomp, cả hai đều có liên hệ với MuddyWater trước đây.
“Mặc dù mã độc này không được nhìn thấy trên các mạng mục tiêu, nhưng việc sử dụng cùng một chứng chỉ cho thấy cùng một tác nhân – cụ thể là Seedworm – đứng đằng sau hoạt động trên các mạng lưới của các công ty Hoa Kỳ,” Symantec và Carbon Black cho biết.
“Các tác nhân đe dọa Iran đã trở nên thành thạo hơn trong những năm gần đây. Không chỉ các công cụ và mã độc của họ được cải thiện, mà họ còn thể hiện khả năng social engineering mạnh mẽ, bao gồm các chiến dịch spear-phishing và các hoạt động 'honeytrap' được sử dụng để xây dựng mối quan hệ với các mục tiêu quan tâm nhằm lấy quyền truy cập vào tài khoản hoặc thông tin nhạy cảm.”
Những phát hiện này diễn ra trong bối cảnh xung đột quân sự leo thang ở Iran, gây ra hàng loạt cuộc tấn công mạng trong không gian kỹ thuật số. Nghiên cứu gần đây từ Check Point đã phát hiện nhóm hacktivist ủng hộ Palestine Handala Hack (còn gọi là Void Manticore) đang định tuyến các hoạt động của mình thông qua các dải IP Starlink để dò tìm các ứng dụng hướng ra bên ngoài nhằm tìm kiếm misconfigurations và weak credentials.
Trong những tháng gần đây, nhiều đối thủ liên quan đến Iran, chẳng hạn như Agrius (còn gọi là Agonizing Serpens, Marshtreader, và Pink Sandstorm), cũng đã được quan sát đang quét các camera Hikvision và giải pháp intercom video dễ bị tổn thương bằng cách sử dụng các lỗ hổng bảo mật đã biết như CVE-2017-7921 và CVE-2023-6895.
Việc nhắm mục tiêu, theo Check Point, đã gia tăng mạnh mẽ sau xung đột Trung Đông hiện tại. Các nỗ lực exploitation chống lại các camera IP đã chứng kiến sự gia tăng ở Israel và các nước vùng Vịnh, bao gồm U.A.E., Qatar, Bahrain và Kuwait, cùng với Lebanon và Cyprus. Hoạt động này đã nhắm vào các camera từ Dahua và Hikvision, vũ khí hóa hai lỗ hổng đã đề cập ở trên, cũng như CVE-2021-36260, CVE-2025-34067, và CVE-2021-33044.
“Tổng hợp lại, những phát hiện này phù hợp với đánh giá rằng Iran, như một phần của học thuyết của mình, tận dụng việc xâm nhập camera để hỗ trợ hoạt động và đánh giá thiệt hại chiến đấu (BDA) liên tục cho các hoạt động tên lửa, có thể trong một số trường hợp trước khi phóng tên lửa,” công ty cho biết.
“Kết quả là, việc theo dõi hoạt động nhắm mục tiêu vào camera từ các cơ sở hạ tầng cụ thể, được gán cho tác nhân có thể đóng vai trò là một chỉ báo sớm về hoạt động động học tiếp theo tiềm năng.”
Cuộc chiến giữa Hoa Kỳ và Israel với Iran cũng đã thúc đẩy một cảnh báo từ Trung tâm An ninh mạng Canada (CCCS), cảnh báo rằng Iran có thể sẽ sử dụng bộ máy cyber của mình để thực hiện các cuộc tấn công trả đũa chống lại critical infrastructure và các hoạt động thông tin nhằm thúc đẩy lợi ích của chế độ.
Các Diễn Biến Chính Khác
Một số diễn biến quan trọng khác đã xảy ra trong những ngày gần đây được liệt kê dưới đây -
- Các cơ quan tình báo Israel đã hack vào mạng lưới camera giao thông rộng khắp của Tehran trong nhiều năm để giám sát các chuyển động của vệ sĩ của Ayatollah Ali Khamenei và các quan chức cấp cao khác của Iran trong thời gian chuẩn bị cho vụ ám sát nhà lãnh đạo tối cao vào tuần trước, tờ Financial Times đưa tin.
- Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) đã nhắm mục tiêu vào data center của Amazon ở Bahrain vì công ty này đã hỗ trợ “các hoạt động quân sự và tình báo của kẻ thù”, hãng thông tấn nhà nước Fars News Agency cho biết trên Telegram.
- Các chiến dịch wiper đang diễn ra được cho là nhằm vào các lĩnh vực năng lượng, tài chính, chính phủ và tiện ích của Israel. “Kho vũ khí wiper của Iran bao gồm hơn 15 họ (ZeroCleare, Meteor, Dustman, DEADWOOD, Apostle, BFG Agonizer, MultiLayer, PartialWasher, và các loại khác),” Anomali cho biết.
- Các nhóm APT do nhà nước Iran bảo trợ như MuddyWater, Charming Kitten, OilRig, Elfin và Fox Kitten “đã thể hiện những dấu hiệu rõ ràng của việc kích hoạt và tái trang bị nhanh chóng, tự định vị để thực hiện các hoạt động trả đũa trong bối cảnh xung đột leo thang,” LevelBlue cho biết, và nói thêm rằng “cyber đại diện cho một trong những công cụ asymmetric dễ tiếp cận nhất của Iran để trả đũa các quốc gia vùng Vịnh đã lên án các cuộc tấn công và ủng hộ các hoạt động của Hoa Kỳ.”
- Theo Flashpoint, một chiến dịch cyber lớn mang tên #OpIsrael, có sự tham gia của các tác nhân thân Nga và thân Iran, đã nhắm mục tiêu vào các hệ thống industrial control systems (ICS) của Israel và các cổng thông tin chính phủ trên khắp Kuwait, Jordan và Bahrain. Chiến dịch này được thúc đẩy bởi NoName057(16), Handala Hack, Fatemiyoun Electronic Team, và Cyber Islamic Resistance (còn gọi là 313 Team).
- Từ ngày 28 tháng 2 năm 2026 đến ngày 2 tháng 3 năm 2026, nhóm hacktivist thân Nga Z-Pentest đã nhận trách nhiệm về việc xâm phạm một số thực thể có trụ sở tại Hoa Kỳ, bao gồm các hệ thống ICS và SCADA cũng như nhiều mạng CCTV. “Thời điểm của những tuyên bố chưa được xác minh này, trùng khớp với Operation Epic Fury, cho thấy Z-Pentest có thể đã bắt đầu ưu tiên các thực thể Hoa Kỳ làm mục tiêu,” Adam Meyers, người đứng đầu Counter Adversary Operations tại CrowdStrike, nói với The Hacker News.
“Khả năng cyber tấn công của Iran đã trưởng thành thành một công cụ quyền lực bền vững của nhà nước được sử dụng để hỗ trợ thu thập thông tin tình báo, ảnh hưởng khu vực và ra tín hiệu chiến lược trong các giai đoạn căng thẳng địa chính trị,” UltraViolet Cyber cho biết. “Một đặc điểm nổi bật trong học thuyết cyber hiện tại của Iran là sự nhấn mạnh vào identity và cloud control planes như bề mặt tấn công chính.”
“Thay vì ưu tiên zero-day exploitation hoặc các mã độc mới lạ ở quy mô lớn, các nhà khai thác Iran có xu hướng tập trung vào các kỹ thuật truy cập lặp lại như credential theft, password spraying và social engineering, sau đó là persistence thông qua các dịch vụ enterprise được triển khai rộng rãi.”
Các tổ chức được khuyến cáo nên tăng cường cybersecurity posture, củng cố khả năng giám sát, hạn chế tiếp xúc với internet, vô hiệu hóa remote access đến các hệ thống operational technology (OT), thực thi multi-factor authentication (MFA) chống phishing, triển khai network segmentation, thực hiện sao lưu offline và đảm bảo rằng tất cả các ứng dụng hướng internet, VPN gateways và edge devices đều được cập nhật.
“Các tổ chức phương Tây nên tiếp tục cảnh giác cao độ đối với các phản ứng cyber tiềm tàng khi xung đột tiếp diễn và hoạt động có thể vượt ra ngoài hacktivism và đi vào các hoạt động phá hoại,” Meyers nói.
