תאונת עבודה: שחקן איומים התקין תוכנת אבטחה – ופעילויותיו נחשפו

שחקן איום בסייבר חשף, בטעות, את שיטות העבודה שלו ואת פעילויותיו היומיומיות, לאחר שאחד מחברי קבוצת ההאקרים התקין תוכנת אבטחה של ספקית הגנת הסייבר האנטרס (Huntress) במחשבו.

התקרית יוצאת הדופן אפשרה לאנליסטים להיחשף באופן חריג ובמבט מבפנים על האופן שבו תוקפים משתמשים בבינה מלאכותית וכן בכלי מחקר ואוטומציה – כדי לשפר את תהליכי העבודה שלהם.

לפי חוקרי האנטרס, שחקן האיום גילה את פתרונות החברה כאשר צפה בפרסומת של גוגל, בעת שחיפש פתרונות אבטחה.

לאחר התחלת תקופת ניסיון בחינם והורדת התוכנה, פעילויות ההאקרים נרשמו בפירוט. החוקרים הצליחו לאשר את זהות היריב באמצעות שם מכונה והיסטוריית דפדפן, שהיו ידועים בעבר ואשר הראו התנהגות של תוקפים ממוקדי מטרות.

A hacker clicked a Google ad.
They thought they were grabbing a tool to help their ops.
Instead, they installed Huntress on their own machine.
👀 And just like that—we got a front-row seat. pic.twitter.com/RTYkkziSGD

— Huntress (@HuntressLabs) September 9, 2025

חשיפת שיטות פעולה של שחקני איום

במהלך שלושה חודשים צפו חוקרי האנטרס בשחקן האיום בודק כלי אבטחה רבים, מאמץ פלטפורמות אוטומציה של זרימת עבודה כגון Make.com, וחוקר ממשקי API של Telegram Bot כדי לייעל את התפעול.

הנתונים חשפו גם עניין שגילה ההאקר במחוללי טקסט ובגיליונות אלקטרוניים המוּנעים על ידי בינה מלאכותית – לשם יצירת הודעות פישינג וניהול מידע גנוב.

המודיעין שנאסף חשף מספר התנהגויות מרכזיות: שימוש ב-Censys לחיפוש שרתי Evilginx פעילים; מחקר על שירותי פרוקסי ביתיים כמו LunaProxy ו-Nstbrowser – כדי להסוות תעבורה; סיור במוסדות פיננסיים, ספקיות תוכנה וחברות נדל"ן; וזאת בצד הסתמכות נרחבת על גוגל תרגום (Google Translate) להכנת הודעות פישינג.

לפי החוקרים, השחקן גם ניגש לפורומים ברשת האפלה, גלש במאגרי נוזקות וניסה למנף את ROADtools Token eXchange לביצוע מתקפות הקשורות לזהות.

האנליסטים של האנטרס הצליחו לקשר את התשתית של שחקן האיום, המתארחת על הספקית הקנדית וירטואו (VIRTUO), לפחות ל-2,471 זהויות שנפגעו במשך שבועיים. מדובר בנתון חלקי בלבד, ממנו ניתן להקיש שניסיונות גניבה רבים של זהויות נעצרו בטרם התממשו.

A threat actor installed Huntress.

… a hysterical mistake on their part, giving us first-hand insight to their tooling, workflow & routine. Phishing infra, stealer logs, Telegram+dark web sites, AI…

Hilarious goldmine of cybercrime deets with a front row seat:… pic.twitter.com/WGt2HHSb2K

— John Hammond (@_JohnHammond) September 9, 2025

"תובנה נדירה לגבי פעילות היריבים"

הצטרפה להאנטרס. ג'ן איסטרלי לשעבר ראשת הסוכנות לאבטחת סייבר ותשתיות במשרד להגנת המולדת.

"התקרית הזו נתנה לנו מידע מעמיק על הפעילויות היומיומיות של שחקן האיום", הסבירו חוקרי האנטרס, "החל מהכלים שהם התעניינו בהם ועד לדרכים שבהן הם ערכו מחקר וניגשו להיבטים שונים של מתקפות".

הם סיכמו: "מדובר במקרה שמדגיש כיצד טעויות של תוקפים יכולות לספק למגינים תובנה נדירה לגבי פעילות היריבים. יש פה 'שיעורים' חשובים לשיפור אסטרטגיות התגובה ודיוק הזיהוי".

בסוף אוגוסט הגיעה האנטרס – הקרויה על שם קבוצת דמויות בדיוניות מחוברות קומיקס, הקשורות לגיבור העל באטמן – לשווי שוק של 1.5 מיליארד דולר. אז הצטרפה לשורותיה ג'ן איסטרלי, המנהלת לשעבר של CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות. איסטרלי מונתה לחברה במועצה המייעצת האסטרטגית של האנטרס. לפי תפקידה ב-CISA, איסטרלי עבדה בתפקידים בכירים במורגן סטנלי, בצבא ארה"ב, בבית הלבן וב-NSA, הסוכנות לביטחון לאומי.