Tác nhân đe dọa do nhà nước Iran bảo trợ, được biết đến với tên gọi APT42, đã bị phát hiện nhắm mục tiêu vào các cá nhân và tổ chức mà Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) quan tâm, như một phần của chiến dịch gián điệp mới.
Hoạt động này, được phát hiện vào đầu tháng 9 năm 2025 và được đánh giá là đang diễn ra, đã được Cơ quan Kỹ thuật số Quốc gia Israel (INDA) đặt tên mã là SpearSpecter.
"Chiến dịch đã nhắm mục tiêu một cách có hệ thống vào các quan chức cấp cao trong ngành quốc phòng và chính phủ có giá trị cao bằng cách sử dụng các chiến thuật social engineering cá nhân hóa," các nhà nghiên cứu của INDA Shimi Cohen, Adi Pick, Idan Beit-Yosef, Hila David và Yaniv Goldman cho biết. "Những chiến thuật này bao gồm việc mời các mục tiêu tham gia các hội nghị uy tín hoặc sắp xếp các cuộc họp quan trọng."
Điều đáng chú ý về nỗ lực này là nó cũng mở rộng sang các thành viên gia đình của mục tiêu, tạo ra một bề mặt tấn công rộng hơn, gây thêm áp lực lên các mục tiêu chính.
APT42 lần đầu tiên được Google Mandiant công bố vào cuối năm 2022, trong đó chi tiết về sự trùng lặp của nó với một cụm mối đe dọa của IRGC khác được theo dõi dưới tên APT35, CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, Educated Manticore, GreenCharlie, ITG18, Magic Hound, Mint Sandstorm (trước đây là Phosphorus), TA453 và Yellow Garuda.
Một trong những đặc điểm nổi bật của nhóm là khả năng thực hiện các chiến dịch social engineering thuyết phục có thể kéo dài hàng ngày hoặc hàng tuần nhằm xây dựng lòng tin với các mục tiêu, trong một số trường hợp giả mạo các liên hệ quen thuộc để tạo ảo giác về tính xác thực, trước khi gửi một malicious payload hoặc lừa họ nhấp vào các liên kết cài bẫy.
Gần đây nhất vào tháng 6 năm 2025, Check Point đã mô tả một làn sóng tấn công trong đó các tác nhân đe dọa tiếp cận các chuyên gia công nghệ và cyber security của Israel bằng cách giả dạng các giám đốc điều hành hoặc nhà nghiên cứu công nghệ trong email và tin nhắn WhatsApp.
Goldman nói với The Hacker News rằng SpearSpecter và chiến dịch tháng 6 năm 2025 là riêng biệt và đã được thực hiện bởi hai sub-group khác nhau trong APT42.
"Trong khi chiến dịch của chúng tôi được thực hiện bởi cluster D của APT42 (tập trung nhiều hơn vào các hoạt động dựa trên malware), thì chiến dịch được Check Point mô tả lại được thực hiện bởi cluster B của cùng nhóm (tập trung nhiều hơn vào credential harvesting)," Goldman nói thêm.
INDA cho biết SpearSpecter linh hoạt ở chỗ đối thủ điều chỉnh cách tiếp cận dựa trên giá trị của mục tiêu và các mục tiêu hoạt động. Trong một chuỗi tấn công, nạn nhân bị chuyển hướng đến các trang họp giả mạo được thiết kế để thu thập credentials của họ. Mặt khác, nếu mục tiêu cuối cùng là persistent long-term access, các cuộc tấn công sẽ dẫn đến việc triển khai một PowerShell backdoor nổi tiếng có tên TAMECAT, đã được sử dụng nhiều lần trong những năm gần đây.
Để đạt được mục tiêu đó, chuỗi tấn công liên quan đến việc mạo danh các liên hệ WhatsApp đáng tin cậy để gửi một malicious link đến một tài liệu được cho là bắt buộc cho một cuộc họp hoặc hội nghị sắp tới. Khi liên kết được nhấp, nó khởi tạo một chuỗi redirect để phục vụ một WebDAV-hosted Windows shortcut (LNK) giả mạo dưới dạng tệp PDF bằng cách tận dụng "search-ms:" protocol handler.
Tệp LNK, về phần mình, thiết lập liên lạc với một Cloudflare Workers subdomain để truy xuất một batch script hoạt động như một loader cho TAMECAT, lần lượt sử dụng các modular components khác nhau để tạo điều kiện thuận lợi cho data exfiltration và remote control.
Kênh Command-and-Control đa dạng
Framework PowerShell sử dụng ba kênh riêng biệt, cụ thể là HTTPS, Discord và Telegram, cho command-and-control (C2), cho thấy mục tiêu của tác nhân đe dọa là duy trì persistent access vào các host bị compromised ngay cả khi một pathway bị phát hiện và chặn.
Đối với C2 dựa trên Telegram, TAMECAT lắng nghe các incoming commands từ một Telegram bot do kẻ tấn công kiểm soát, dựa trên đó nó tìm nạp và thực thi mã PowerShell bổ sung từ các Cloudflare Workers subdomain khác nhau. Trong trường hợp Discord, một webhook URL được sử dụng để gửi thông tin hệ thống cơ bản và nhận lệnh phản hồi từ một channel được hard-coded.
"Phân tích các tài khoản được khôi phục từ Discord server của tác nhân cho thấy logic command lookup dựa vào các tin nhắn từ một người dùng cụ thể, cho phép tác nhân gửi các lệnh độc đáo đến từng host bị nhiễm trong khi sử dụng cùng một channel để phối hợp nhiều cuộc tấn công, tạo ra một không gian làm việc cộng tác hiệu quả trên một cơ sở hạ tầng duy nhất," các nhà nghiên cứu của INDA cho biết.
Khả năng và Kỹ thuật né tránh của TAMECAT
Hơn nữa, TAMECAT được trang bị các tính năng để thực hiện reconnaissance, thu thập các tệp khớp với một extensions nhất định, đánh cắp dữ liệu từ các web browsers như Google Chrome và Microsoft Edge, thu thập Outlook mailboxes và chụp screenshots theo khoảng thời gian 15 giây. Dữ liệu được exfiltrated qua HTTPS hoặc FTP.
Nó cũng áp dụng nhiều stealthy techniques để evade detection và chống lại các nỗ lực analysis. Những kỹ thuật này bao gồm encrypting telemetry và controller payloads, source code obfuscation, sử dụng living-off-the-land binaries (LOLBins) để ẩn các malicious activities và hoạt động chủ yếu trong memory, do đó để lại rất ít traces trên disk.
"Cơ sở hạ tầng của chiến dịch SpearSpecter phản ánh sự kết hợp tinh vi giữa tính linh hoạt, stealth và operational security được thiết kế để duy trì gián điệp kéo dài chống lại các mục tiêu giá trị cao," INDA cho biết. "Các operators tận dụng một cơ sở hạ tầng đa diện kết hợp các dịch vụ cloud hợp pháp với các tài nguyên do kẻ tấn công kiểm soát, cho phép initial access liền mạch, command-and-control (C2) liên tục và covert data exfiltration."
