סייבר פריצות למחשבים קרדיט FREEPIC

פאלו אלטו נטוורקס: איראן ביצעה קמפיין ריגול בארה"ב, ישראל ואיחוד האמירויות

חוקרי פאלו אלטו נטוורקס חושפים קמפיין ריגול מתקדם: קבוצת Screening Serpens, המזוהה עם איראן, הפעילה נוזקות וטכניקת תקיפה חדשה נגד יעדים בישראל, ארה״ב ובמזרח התיכון, כאשר בניגוד לתקיפות אגרסיביות, כאן מתוארת פעילות ריגול שקטה וממושכת

הדס ברטל | 24/05/2026 15:53

נושאים בכתבה איראן ישראל ארה"ב סייבר איחוד האמירויות

צוותי המחקר של UNIT 42 מפאלו אלטו נטוורקס מפרסמים היום דוח חדש החושף קמפיין ריגול מתמשך של קבוצת APT בשם Screening Serpens המקושרת לאיראן. לפי צוות המחקר, הקבוצה תקפה גופים שונים בארה״ב, ישראל ואיחוד האמירויות, וככל הנראה גם שני יעדים נוספים במזרח התיכון. המחקר מתמקד בהתפתחות מתקפות הסייבר שבוצעו בין אמצע פברואר לאפריל 2026. עיתוי הקמפיינים תואם באופן הדוק להסלמה האזורית שהחלה במזרח התיכון בסוף פברואר עם פרוץ המלחמה בין ארה"ב וישראל מול איראן.

לפי צוות המחקר, במהלך החקירה זוהו שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק ,(RAT) שפותחו והופעלו בין פברואר לאפריל 2026. שש גרסאות הסוס הטרויאני החדשות שאותרו סווגו לשתי משפחות נוזקה חדשות, שהופעלו במסגרת קמפייני ריגול מקבילים. על בסיס עיתוי ההפעלה, הניתוח שלנו מצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות.

ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה עושה שימוש בטכניקה בשם.AppDomainManager hijacking מדובר בשיטה המנצלת את שלב האתחול של יישומי NET. כדי לנטרל מראש את מנגנוני האבטחה של היישום באמצעות קובץ קונפיגורציה לגיטימי. נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב־תכליתיות שהופעלו במסגרת המתקפה.

הקבוצה, המוכרת גם בכינויים: UNC1549, Smoke Sandstorm, Iranian Dream Job , מזוהה עם אינטרסים מודיעיניים של איראן ופועלת לפחות מאז 2022. בפאלו אלטו מציינים כי זוהתה עלייה ביכולות הטכניות של הקבוצה ומעריכים כי הקבוצה שמרה על "קצב פעילות גבוה ועקבי" לאורך מרץ ואפריל.

הנוזקה "מתחבאת" בתוך רכיבים שנראים תקינים לחלוטין

שש הגרסאות החדשות של נוזקות שליטה מרחוק, חולקו לשתי משפחות נוזקה שונות. לפי החוקרים, נראה שהקבוצה פעלה במקביל בכמה קמפיינים, כאשר לכל אחד מהם הותאמו יכולות שונות ומנגנוני פעולה שונים. החוקרים מצאו גם שימוש בטכניקות הסוואה מתקדמות יחסית, לרבות DLL Side Loading ו AppDomainManager Hijacking, שמאפשרות להריץ קוד זדוני דרך קבצים ותהליכים לגיטימיים של מערכת ההפעלה. בשיטות אלו הנוזקה "מתחבאת" בתוך רכיבים שנראים תקינים לחלוטין, מה שמקשה על מערכות אבטחה לזהות אותה בזמן אמת.

לפי הדוח, לפחות אחת מהנוזקות נבנתה עם הוראות תזמון מדויקות להפעלה, מה שמעיד על תכנון מוקדם ועל ניסיון לבצע תקיפות מסונכרנות. במקביל, החוקרים מתארים מחזור קבוע של פיתוח, שדרוג והפצה של הכלים הזדוניים, דבר שמעיד על תשתית פעילות מסודרת ולא על פעילות אקראית.

קיראו עוד ב"BizTech"

החוקרים מציינים כי הקבוצה מפגינה "חוסן תפעולי" ויכולת הסתגלות, כולל פיתוח גרסאות חדשות של נוזקות בזמן קצר יחסית. בנוסף, נראה שהפעילות מותאמת לכל יעד בנפרד, לרבות שימוש בפיתיונות מותאמים אישית והסתרה טובה יותר של שרתי השליטה והשלבים השונים בשרשרת ההדבקה.

התחזות להצעות עבודה ותקיפות ממוקדות

אחד המרכיבים המרכזיים בפעילות הקבוצה הוא הנדסה חברתית ממוקדת. בפועל, התוקפים ניסו לפתות עובדים בתחומי הטכנולוגיה להצטרף לכאורה לתהליכי גיוס אמיתיים. לפי פאלו אלטו, נעשה שימוש בהודעות מותאמות אישית ובהתחזות לפלטפורמות גיוס ולמותגים מוכרים, כדי לגרום לקורבנות להוריד קבצים זדוניים ולהפעיל אותם בעצמם.

מדובר בשיטה שמנסה לעקוף את מערכות ההגנה דרך הגורם האנושי. במקום מתקפה ישירה על שרתים או רשתות, התוקפים מנסים לייצר אמון אצל עובדים ספציפיים, בעיקר כאלה שמחזיקים בגישה למידע רגיש או לתשתיות קריטיות. בדוח עולה כי הקבוצה התמקדה באנשי מקצוע מתחומי הטכנולוגיה, ההגנה והתשתיות. זאת, כנראה מתוך ניסיון להגיע למידע מודיעיני, גישה למערכות ארגוניות ונתונים רגישים

הדוח משקף מגמה רחבה יותר בעולם הסייבר, שבה תקיפות מדינתיות נשענות פחות על פריצה אגרסיבית ויותר על התחזות, גניבת אמון ושימוש בכלים שנראים לגיטימיים. זאת, בין היתר, כדי להקשות על זיהוי ולשמור על נוכחות ממושכת בתוך הארגון המותקף.
פאלו אלטו תדווח בעוד שבוע וקצת את התוצאות לרבעון השלישי הפיסקלי - זה מה שהשוק מצפה לראות.

הוספת תגובה

תגובות לכתבה:

הגב לכתבה

שם המגיב *

כותרת תגובה *

תוכן התגובה

השדות המסומנים ב-* הם שדות חובה