"חתלתול מקסים" האיראנית תקפה בסייבר פרופסורים למדעי המחשב

ברקע הדיווחים ברחבי העולם על מענה איראני למתקפות של ישראל וארה"ב נגדה, זוהה בימים האחרונים מהלך – מתואם – של כוח סייבר של משמרות המהפכה, אשר ניסה לתקוף גופים אקדמיים בישראל, בהם פרופסורים למדעי המחשב.

חוקרי צ'ק פינט (Check Point) דיווחו היום (ד') כי זיהו יותר מ-100 דומיינים זדוניים, המתחזים ל-גוגל, אאוטלוק של מיקרוסופט ו-יאהו, במטרה לגנוב את הפרטים האישיים של האקדמיים ולהגיע לחומרים שמוחזקים אצלם.

"ככל הנראה", ציינו חוקרי ענקית הגנת הסייבר הישראלית, "מדובר בתשתית רחבה יותר, ששימשה גם למתקפה שפורסמה בתחילת השבוע, בה היה ניסיון לטרגט עיתונאים בכירים – כפי שפורסם באתר מאקו. התשתית הזאת תשמש אותם, ככל הנראה, גם לאחר המלחמה ותתמקד גם בגורמים מחוץ לישראל". הדומיינים הוסרו ואינם פעילים עוד.

🇮🇷🇮🇱 In their latest phishing campaigns, Iranian APT Educated Manticore poses as cybersecurity researchers and executives to target top tech academics in Israel:

🔗 Fake Google Meet meetings
🌐 Phishing kits as Single Page App with React

👉 Details: https://t.co/W0neXbcnUU

— Check Point Research (@_CPResearch_) June 25, 2025

לנוכח המלחמה – פעילות הקבוצה מתמקדת בישראל

לפי החוקרים, מאחורי הקמפיין עומדת קבוצת חתלתול מקסים (Charming Kitten), המוכרת גם בשמות  Educated Manticore ו-APT42. קבוצת פצחנים זו פועלת תחת מערך המודיעין של משמרות המהפכה באיראן, ונחשבת לאחת מקבוצות הריגול הסייבר המתוחכמות של המשטר. פעילותה מתמקדת בריגול ממוקד נגד עיתונאים, אנשי אקדמיה, חוקרי מדיניות ודמויות מפתח בזירה הגיאופוליטית –  לעיתים קרובות תוך התחזות לאנשי ממשל, דיפלומטים, חוקרים או עיתונאים.

בעבר התחזתה הקבוצה לגופי תקשורת מוכרים כמו הוושינגטון פוסט ו-The Economist ועמותות בינלאומיות, במטרה לבנות אמון ולגנוב פרטי גישה לחשבונות מייל ורשתות. שיטות הפעולה שלה כוללות שימוש בזהויות בדויות, שליחת לינקים מזויפים המדמים שירותים כמו Gmail, Outlook ו-Google Meet, וניסיון לעקוף מנגנוני אבטחה כמו אימות דו-שלבי – לעיתים תוך פנייה ישירה בערוצים כמו ווטסאפ או טלגרם. כעת, לנוכח המלחמה, פעילות הקבוצה מתמקדת בישראל.

החוקרים ציינו כי "התוקפים יוצרים קשר עם היעדים באמצעות אימיילים והודעות ווסטאפ, תוך התחזות לנציגי ממשל, אנשי טכנולוגיה או חוקרים מוכרים. היעדים מוזמנים להצטרף לפגישה או לבדוק מסמך מקצועי, אך הלינק מוביל לעמוד התחברות מזויף, שמדמה את Google Meet. במקרים רבים עמודי הפישינג כבר כוללים את כתובת האימייל של היעד, ליצירת תחושת לגיטימציה. לאחר הזנת הסיסמה, הקורבן מתבקש לאשר קוד אימות דו-שלבי (2FA) – אותו התוקפים מיירטים בזמן אמת, לצורך השתלטות מלאה על החשבון. במקרים מסוימים אף נשלחו הזמנות לפגישות פיזיות".

חוקרי צ'ק פוינט סיימו בתזכורות כיצד על מקבלי פניות דומות להתנהג, וכתבו כי "יש לאמת את הזהות של השולח דרך ערוצים מוכרים, כמו חשבונות רשמיים ברשתות החברתיות; תמיד יש לבדוק את כתובת האתר לפני הזנת פרטי ההתחברות; יש לחשוד בכל מקרה לשיתוף קוד אימות".