Σε μια εξελιγμένη εκστρατεία κυβερνοκατασκοπείας, Ιρανοί χάκερ έχουν δημιουργήσει έναν ψεύτικο ιστότοπο που προσποιείται ότι ανήκει σε ένα νόμιμο γερμανικό πρακτορείο μοντέλων, με σκοπό τη συλλογή πληροφοριών και την πιθανή στοχοποίηση συγκεκριμένων ατόμων.
Δείτε επίσης: Ιρανοί χάκερ στοχεύουν τον αεροπορικό τομέα των Η.Α.Ε. με το Golang backdoor
Η επιχείρηση, που αποκαλύφθηκε στις αρχές Μαΐου 2025, περιλαμβάνει προηγμένες τεχνικές εντοπισμού και προφίλ επισκεπτών, οι οποίες έχουν σχεδιαστεί για να εντοπίζουν επιλεκτικά και να παραβιάζουν στόχους που παρουσιάζουν ενδιαφέρον, ιδίως άτομα συνδεδεμένα με κοινότητες Ιρανών αντιφρονούντων. Οι Ιρανοί χάκερ αντέγραψαν με ακρίβεια την ιστοσελίδα του πρακτορείου μοντέλων Mega Model Agency με έδρα το Αμβούργο, αναπαράγοντας το εμπορικό του σήμα, τη διάταξη και το περιεχόμενο, ώστε να δημιουργήσουν μια πειστική απάτη.
Ωστόσο, αυτή η παραπλανητική αντιγραφή του ιστότοπου περιέχει συγκκαλυμμένο κώδικα JavaScript, ο οποίος ενεργοποιείται με την πρόσβαση του επισκέπτη και συλλέγει λεπτομερείς πληροφορίες για πιθανούς στόχους, όπως ρυθμίσεις προγράμματος περιήγησης, ανάλυση οθόνης, διευθύνσεις IP και μοναδικά «αποτυπώματα» περιήγησης.
Οι ερευνητές της Palo Alto Networks εντόπισαν ότι η επιχείρηση αυτή πιθανότατα προέρχεται από μια κρατικά υποστηριζόμενη ιρανική ομάδα απειλής, η οποία συνδέεται με την Agent Serpens, γνωστή και ως APT35 ή Charming Kitten. Η συγκεκριμένη ομάδα έχει καταγεγραμμένο ιστορικό στοχοποίησης Ιρανών αντιφρονούντων, δημοσιογράφων και ακτιβιστών που ζουν στο εξωτερικό, με ιδιαίτερη έμφαση στη Γερμανία.
Δείτε ακόμα: ΗΠΑ και Ισραήλ προειδοποιούν για την Ιρανική ομάδα Cotton Sandstorm
Η εκστρατεία αυτή καταδεικνύει μια ανησυχητική εξέλιξη στις τακτικές social engineering, καθώς οι κυβερνοεγκληματίες δημιούργησαν ένα εντελώς πλασματικό προφίλ μοντέλου με το όνομα «Shir Benzion» στον ψεύτικο ιστότοπο. Το προφίλ αυτό αντικαθιστά τις πληροφορίες ενός υπαρκτού μοντέλου και περιλαμβάνει έναν ανενεργό προς το παρόν σύνδεσμο προς ένα «ιδιωτικό άλμπουμ», υποδηλώνοντας προετοιμασίες για στοχευμένο phishing ή διάδοση κακόβουλου λογισμικού.
Η τεχνική πολυπλοκότητα της επιχείρησης εντοπίζεται στον προσεκτικά συγκαλυμμένο κώδικα JavaScript που είναι ενσωματωμένος στον ψεύτικο ιστότοπο. Κατά την ανάλυσή του, οι ερευνητές διαπίστωσαν ότι το σενάριο εκτελεί πολλαπλές λειτουργίες συλλογής δεδομένων ταυτόχρονα. Συγκεκριμένα, ανιχνεύει τις γλώσσες του προγράμματος περιήγησης και τα πρόσθετα (plugins), ενώ ταυτόχρονα καταγράφει την ανάλυση οθόνης ώστε να καθορίσει το υπολογιστικό περιβάλλον του επισκέπτη. Ακόμη πιο παρεμβατικά, ο κώδικας εκμεταλλεύεται τη λειτουργία WebRTC για να αποκαλύψει τόσο την τοπική όσο και τη δημόσια διεύθυνση IP του επισκέπτη, δημιουργώντας ένα πλήρες προφίλ ταυτοποίησης.
Στη συνέχεια, το σενάριο εφαρμόζει τεχνικές αποτύπωσης μέσω canvas (canvas fingerprinting), παράγοντας κατακερματισμούς SHA-256 με σκοπό τη μοναδική αναγνώριση κάθε συσκευής. Τα δεδομένα που συλλέγονται διαμορφώνονται σε μορφή JSON και αποστέλλονται σε ένα τελικό σημείο (endpoint) που παρουσιάζεται ως υπηρεσία διαφημιστικής ανάλυσης (/ads/track), γεγονός που αποκαλύπτει την πρόθεση των δραστών να καλύψουν τις δραστηριότητες παρακολούθησης πίσω από φαινομενικά νόμιμη διαδικτυακή κίνηση.
Δείτε επίσης: Ιρανοί χάκερ πωλούν πρόσβαση σε κρίσιμες υποδομές ως μεσίτες
Η χρήση τεχνικών όπως το canvas fingerprinting και το WebRTC IP leakage εντάσσεται στις πιο εξελιγμένες μεθόδους παρακολούθησης στον κυβερνοχώρο, καθώς επιτρέπουν στους επιτιθέμενους να παρακάμψουν παραδοσιακά μέτρα ανωνυμίας, όπως τα VPN και τα ιδιωτικά προγράμματα περιήγησης. Αυτό που καθιστά τέτοιες επιθέσεις ιδιαίτερα επικίνδυνες είναι η μίμηση νόμιμων ιστότοπων και η χρήση τεχνικών απόκρυψης (obfuscation), που δυσκολεύουν την ανίχνευσή τους από παραδοσιακά εργαλεία ασφαλείας.
Πηγή: cybersecuritynews
