یک گروه تهدید تحت حمایت ایران به نفوذ سایبری طولانی مدتی با هدف زیرساختهای ملی حیاتی (CNI) در خاورمیانه که تقریباً دو سال به طول انجامید، نسبت داده شده است.
تیم واکنش به حوادث FortiGuard در گزارشی اعلام کرد که این فعالیت که حداقل از ماه می ۲۰۲۳ تا فوریه ۲۰۲۵ ادامه داشته است، شامل “عملیات جاسوسی گسترده و پیشآمادهسازی شبکه (Network Prepositioning): تاکتیک مورد استفاده جهت حفظ دسترسی پایدار و ایجاد مزیت راهبردی آینده) بوده است. این شرکت امنیت شبکه خاطر نشان کرد که این حمله همپوشانیهای تجاری با عامل تهدید شناخته شده دولتی ایران به نام Lemon Sandstorm (Rubidium سابق) را نشان میدهد که تحت عناوین Parisite، Pioneer Kitten و UNC757 نیز ردیابی میشود.
بر اساس ارزیابیها بدافزار حداقل از سال ۲۰۱۷ فعال بوده و بخشهای هوافضا، نفت و گاز، آب و برق را در سراسر ایالات متحده، خاورمیانه، اروپا و استرالیا مورد حمله قرار داده است. به گفته شرکت امنیت سایبری صنعتی Dragos، این نفوذگران از نقصهای امنیتی شناخته شده VPN در Fortinet، Pulse Secure و Palo Alto Networks برای دسترسی اولیه استفاده کردهاند. سال گذشته، سازمانهای امنیت سایبری و اطلاعاتی ایالات متحده، Lemon Sandstorm را به دلیل استقرار باجافزار علیه نهادهایی در ایالات متحده، اسرائیل، آذربایجان و امارات متحده عربی، متهم کردند.
https://www.fortinet.com/blog/threat-research/fortiguard-incident-response-team-detects-intrusion-into-middle-east-critical-national-infrastructure
https://thehackernews.com/2025/05/iranian-hackers-maintain-2-year-access.html
