گروه هکری وابسته به ایران به مجموعهای جدید از حملات سایبری که مقامات دولتی کرد و عراق را در اوایل سال ۲۰۲۴ هدف قرار میدهد، نسبت داده شده است.
این فعالیت به گروه هکری BladedFeline مرتبط است که به عنوان زیر مجموعهای از OilRig گروه APT ایرانی که دولتها و مشاغل را در خاورمیانه هدف قرار میدهد، ارزیابی میشود. بر اساس گزارش ESET، این گروه از سپتامبر ۲۰۱۷ فعال بوده است، زمانی که مقامات مرتبط با دولت منطقهای کردستان (KRG) را هدف قرار داد. گروه BladedFeline بدافزارهایی را برای حفظ و گسترش دسترسی در سازمانهای عراق و KRG توسعه داده است. BladedFeline با هدف جاسوسی سایبری به طور مداوم به دنبال حفظ دسترسی استراتژیک به مقامات عالی رتبه در هر دو نهاد دولتی است و همزمان با سوءاستفاده از ارائه دهنده سرویس مخابراتی منطقهای در ازبکستان، دسترسی به مقامات دولت عراق را توسعه داده و حفظ کرده است. این گروه در سال 2023 پس از حملاتی که مقامات دیپلماتیک کرد را با دربپشتی Shahmaran هدف قرار داده بود، کشف شد.
در نوامبر گذشته، این گروه هکری با استفاده از دربپشتیهای سفارشی مانند Whisper (معروف به Veaty)، Spearal و Optimizer حملاتی را علیه همسایگان ایران به ویژه نهادهای منطقهای و دولتی در عراق و نمایندگان دیپلماتیک عراق به کشورهای مختلف، سازماندهی کرده است. BladedFeline، دولت اقلیم کردستان و دولت عراق را هدف قرار میدهد. از مجموعه ابزارهای مورد استفاده در کمپین اخیر میتوان دو تونل معکوس، انواع ابزارهای تکمیلی و از همه مهمتر دربپشتی که Whisper و ماژول IIS مخرب PrimeCache را نام برد. دربپشتی Whisper با ورود به اکانت webmail آسیبپذیر در سرور Microsoft Exchange، از آن برای ارتباط با مهاجمان از طریق پیوستهای ایمیل استفاده میکند. PrimeCache نیز به عنوان دربپشتی عمل میکند و شباهتهایی با دربپشتی RDAT مورد استفاده گروه APT ایرانی OilRig دارد. افزون بر این ابزار مخربی به نام Hawking Listener شناسایی شده که یک ایمپلنت مرحله اولیه است که با گوش دادن به یک پورت مشخص، دستورات را از طریق “cmd.exe” اجرا میکند.
https://www.welivesecurity.com/en/eset-research/bladedfeline-whispering-dark/
https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html
https://thehackernews.com/2025/06/iran-linked-bladedfeline-hits-iraqi-and.html
