איראן ניסתה לגייס אנשי היי-טק ישראליים למטרות ריגול

הבית הלבן ומשמרות המהפכה בדרך להסכם לסיום המלחמה? בסייבר, היא נמשכת: חוקרי יחידה 42 של ענקית הגנת הסייבר פאלו אלטו חשפו היום (א') קמפיין תקיפה איראני חדש, שבמסגרתו היא ריגלה אחרי ארצות הברית, ישראל, איחוד האמירויות ועוד שני יעדים במזרח התיכון – גם אחרי ששיחות המשא ומתן בין טהרן לוושינגטון החלו. היעדים העיקריים שלה היו אנשי היי-טק, ומגזרי התעופה, הביטחון והתקשורת.

לפי החוקרים, קמפיין הריגול נערך על ידי Screening Serpens – קבוצת APT שמזוהה עם הרפובליקה האסלאמית. זו הפעילה נוזקות וטכניקת תקיפה חדשה נגד היעדים. הקבוצה מוכרת גם כ-UNC1549 ,Smoke Sandstorm ו-Iranian Dream Job.

המחקר מתמקד בהתפתחות מתקפות הסייבר שהקבוצה ביצעה בין אמצע פברואר – כשבועיים לפני התחלת המלחמה, לאפריל 2026 – כשלושה שבועות לאחר ההכרזה על הפסקת אש. "עיתוי הקמפיינים תואם באופן הדוק להסלמה האזורית, שהחלה במזרח התיכון ב־28 בפברואר 2026", ציינו החוקרים, שזיהו שש גרסאות חדשות של סוס טרויאני לגישה מרחוק (RAT), שפותחו והופעלו בין החודשים הללו. "הקבוצה שמרה על קצב תפעולי גבוה ועקבי לאורך מרץ ואפריל 2026", ציינו אנשי יחידה 42.

מהי ההתפתחות המשמעותית ביותר בפעילות הקבוצה?

החוקרים סיווגו את שש הגרסאות החדשות של הסוסים הטרויאניים שאיתרו לשתי משפחות נוזקה חדשות. אלה הופעלו במסגרת קמפייני ריגול מקבילים. "על בסיס עיתוי ההפעלה, הניתוח שלנו מצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות", ציינו.

לפי החוקרים, "ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה היא השימוש בטכניקה בשם AppDomainManager hijacking. מדובר בשיטה שמנצלת את שלב האתחול של יישומי דוט.נט כדי לנטרל מראש את מנגנוני האבטחה של היישום באמצעות קובץ קונפיגורציה לגיטימי. נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב תכליתיות, שהופעלו במסגרת המתקפה".\

שימוש בהנדסה חברתית לפנייה לאנשי טק

עוד ציינו פאלו אלטו כי "קבוצת התקיפה פעילה ומוכרת לפחות מאז 2022. פעילותה האחרונה מדגימה עלייה ביכולות הטכניות ובחוסן התפעולי שלה".

לפי המחקר, "התוקפים פונים בעיקר לאנשי מקצוע בתחום הטכנולוגיה, תוך שימוש בהנדסה חברתית מותאמת מאוד. הקבוצה משתמשת לעיתים קרובות בפיתויי גיוס מותאמים אישית, שמתחזים למותגים ופלטפורמות גיוס מהימנות, כדי להטעות מטרות ולגרום להם להתחיל את שרשרת ההדבקה".

חוקרי פאלו אלטו כתבו כי "במהלך הקמפיינים שגילינו, Screening Serpens כיוונה באופן עקבי למגזרים בעלי ערך גבוה, תוך התמקדות רבה בארגוני תעופה וחלל, ייצור ביטחוני ותקשורת. פעולות אלו מאופיינות בקמפיינים ממוקדים של הנדסה חברתית, תוך שימוש בפיתויים שנועדו במיוחד להטעות מחפשי עבודה במגזרים המרכזיים הללו. זו קבוצת איום מתמשך, שנשארה פעילה בחודשים האחרונים, ושהרחיבה את פעילותה מאז הסכסוך האזורי, שהחל בפברואר 2026".

התרחבות למערב אירופה

Screening Serpens פועלת כקבוצת ריגול סייבר המזוהה עם מטרות המודיעין האיראני. בעבר היא התמקדה ביעדים אזוריים במזרח התיכון, אולם בסוף 2025, חוקרי צ'ק פוינט ציינו כי היא ביצעה התרחבות אסטרטגית למערב אירופה.