НАЗАД К НОВОСТЯМ
Срочные новости

CRESCENTHARVEST: Шпионская кампания развёртывает RAT против сторонников протестов в Иране

2 мин чтенияИсточник: The Hacker News

Эксперты Acronis TRU выявили кибершпионскую кампанию CRESCENTHARVEST, нацеленную на сторонников протестов в Иране. Используется RAT-вредонос для кражи данных и слежки.

Кампания CRESCENTHARVEST развёртывает RAT-вредонос против сторонников протестов в Иране

Специалисты Acronis Threat Research Unit (TRU) обнаружили сложную кибершпионскую кампанию CRESCENTHARVEST, нацеленную на сторонников продолжающихся протестов в Иране. Операция, активная как минимум с 9 января 2026 года, направлена на развёртывание трояна удалённого доступа (RAT) для кражи информации и долгосрочного наблюдения.

Технические детали

Хотя полные технические индикаторы компрометации (IOC) ещё не были обнародованы, Acronis TRU подтвердил, что кампания использует RAT-вредонос для установления постоянного доступа к скомпрометированным системам. RAT позволяют злоумышленникам:

  • Похищать конфиденциальные данные (например, документы, учётные данные, переписку);
  • Проводить слежку с помощью кейлоггинга, захвата экрана или доступа к микрофону/веб-камере;
  • Обеспечивать долгосрочное присутствие для непрерывного шпионажа.

Нацеленность на сторонников протестов в Иране указывает на государственно связанного или политически мотивированного злоумышленника, хотя атрибуция остаётся неподтверждённой. Инфраструктура и тактики кампании соответствуют методологиям расширенной постоянной угрозы (APT), где приоритетом являются скрытность и эксфильтрация данных.

Анализ последствий

Кампания CRESCENTHARVEST представляет значительные риски для целевых лиц, включая:

  • Нарушение конфиденциальности: раскрытие личной переписки, контактов и информации о протестной деятельности;
  • Проблемы с операционной безопасностью (OPSEC): скомпрометированные устройства могут раскрыть сети протестующих, стратегии или личности других сторонников;
  • Угрозы физической безопасности: в репрессивных режимах цифровая слежка часто предшествует арестам или преследованиям.

Для организаций, связанных с Ираном или региональными правозащитными группами, эта кампания подчёркивает необходимость повышенной бдительности в отношении целевого шпионажа.

Рекомендации

Командам безопасности и лицам из группы риска следует:

  1. Усилить защиту конечных точек: развернуть инструменты обнаружения угроз, способные выявлять поведение RAT (например, необычный сетевой трафик, несанкционированное выполнение процессов);
  2. Мониторить IOC: ожидать дальнейших подробностей от Acronis TRU или других поставщиков разведки угроз и обновлять защиту соответствующим образом;
  3. Соблюдать лучшие практики OPSEC: использовать зашифрованные каналы связи, избегать хранения конфиденциальных данных на личных устройствах и разделять протестную деятельность и повседневное цифровое использование;
  4. Проводить обучение по кибербезопасности: информировать пользователей о рисках фишинга, социальной инженерии и признаках заражения RAT (например, замедление работы, неожиданные всплывающие окна).

Acronis TRU продолжает расследование кампании, и ожидаются обновления по мере выявления новых IOC и векторов атак.

Поделиться

TwitterLinkedIn