Een vermoedelijke Iran-nexus-bedreigingsacteur wordt toegeschreven aan een campagne gericht op overheidsfunctionarissen in Irak door zich voor te doen als het Ministerie van Buitenlandse Zaken van het land om een reeks nooit eerder vertoonde malware af te leveren.
Zscaler ThreatLabz, dat de activiteit in januari 2026 observeerde, volgt het cluster onder de naam Stof spook. De aanvallen, die zich manifesteren in de vorm van twee verschillende infectieketens, culmineren in de inzet van malware genaamd SPLITDROP, TWINTASK, TWINTALK en GHOSTFORM.
“Dust Spectre gebruikte willekeurig gegenereerde URI-paden voor command-and-control (C2)-communicatie met checksum-waarden toegevoegd aan de URI-paden om ervoor te zorgen dat deze verzoeken afkomstig waren van een daadwerkelijk geïnfecteerd systeem”, aldus beveiligingsonderzoeker Sudeep Singh. “De C2-server maakte ook gebruik van geofencing-technieken en User-Agent-verificatie.”
Een opmerkelijk aspect van de campagne is het compromitteren van de Iraakse overheidsinfrastructuur om kwaadaardige ladingen te ensceneren, om nog maar te zwijgen van het gebruik van ontwijkingstechnieken om executies uit te stellen en onder de radar te blijven.
De eerste aanvalsreeks begint met een met een wachtwoord beveiligd RAR-archief, waarin zich een .NET-dropper bevindt met de naam SPLITDROP, die fungeert als kanaal voor TWINTASK, een werkmodule, en TWINTALK, een C2-orkestrator.
TWINTASK is op zijn beurt een kwaadaardige DLL (“libvlc.dll”) die sideloaded wordt door het legitieme binaire bestand “vlc.exe” om periodiek elke 15 seconden een bestand (“C:ProgramDataPolGuidin.txt”) te controleren op nieuwe opdrachten en deze uit te voeren met PowerShell. Dit omvat ook opdrachten om persistentie op de host tot stand te brengen via wijzigingen in het Windows-register. De scriptuitvoer en fouten worden vastgelegd in een afzonderlijk tekstbestand (“C:ProgramDataPolGuidout.txt”).
TWINTASK is bij de eerste lancering ontworpen om een ander legitiem binair bestand uit te voeren dat aanwezig is in het uitgepakte archief (“WingetUI.exe”), waardoor het de TWINTALK DLL (“hostfxr.dll”) sideloadt. Het primaire doel is om contact op te nemen met de C2-server voor nieuwe opdrachten, taken te coördineren met TWINTASK en de resultaten terug naar de server te exfiltreren. Het ondersteunt de mogelijkheid om de opdrachttekst van het C2-antwoord naar “in.txt” te schrijven, en om bestanden te downloaden en te uploaden.
“De C2-orkestrator werkt parallel met de eerder beschreven werkmodule om een op bestanden gebaseerd polling-mechanisme te implementeren dat wordt gebruikt voor het uitvoeren van code”, aldus Singh. “Bij uitvoering komt TWINTALK in een bakenlus terecht en vertraagt de uitvoering met een willekeurig interval voordat de C2-server wordt ondervraagd voor nieuwe opdrachten.”
De tweede aanvalsketen vertegenwoordigt een evolutie van de eerste, waarbij alle functionaliteit van TWINTASK en TWINTALK wordt geconsolideerd in één enkel binair bestand genaamd GHOSTFORM. Het maakt gebruik van PowerShell-scriptuitvoering in het geheugen om opdrachten uit te voeren die zijn opgehaald van de C2-server, waardoor de noodzaak voor het schrijven van artefacten naar schijf wordt geëlimineerd.
Dat is niet de enige onderscheidende factor tussen de twee aanvalsketens. Er is vastgesteld dat sommige binaire bestanden van GHOSTFORM een hardgecodeerde Google Forms-URL bevatten die automatisch wordt gestart in de standaardwebbrowser van het systeem zodra de malware begint te worden uitgevoerd. Het formulier bevat inhoud die in het Arabisch is geschreven en doet zich voor als een officieel onderzoek van het Iraakse ministerie van Buitenlandse Zaken.
Zscaler’s analyse van de TWINTALK- en GHOSTFORM-broncode heeft ook de aanwezigheid van placeholder-waarden, emoji’s en Unicode-tekst blootgelegd, wat erop wijst dat er mogelijk generatieve kunstmatige intelligentie (AI)-tools zijn gebruikt om te helpen bij de ontwikkeling van de malware.
Bovendien zou het C2-domein dat is gekoppeld aan TWINTALK, “meetingapp(.)site”, door de Dust Spectre-acteurs zijn gebruikt in een campagne van juli 2025 om een nep-Cisco Webex uitnodigingspagina voor vergaderingen te hosten die gebruikers instrueert een PowerShell-script te kopiëren, plakken en uit te voeren om deel te nemen aan de vergadering. De instructies weerspiegelen een tactiek die veel voorkomt bij social engineering-aanvallen in ClickFix-stijl.
Het PowerShell-script maakt op zijn beurt een map op de host en probeert een niet-gespecificeerde payload uit hetzelfde domein op te halen en deze op te slaan als een uitvoerbaar bestand in de nieuw gemaakte map. Er wordt ook een geplande taak gemaakt om het kwaadaardige binaire bestand elke twee uur uit te voeren.
De connecties van Dust Spectre met Iran zijn gebaseerd op het feit dat Iraanse hackgroepen een geschiedenis hebben in het ontwikkelen van op maat gemaakte lichtgewicht .NET-backdoors om hun doelen te bereiken. Het gebruik van gecompromitteerde Iraakse overheidsinfrastructuur is waargenomen in eerdere campagnes die verband hielden met dreigingsactoren zoals OilRig (ook bekend als APT34).
“Deze campagne, die met middelmatig tot hoog vertrouwen wordt toegeschreven aan Dust Spectre, was waarschijnlijk gericht op overheidsfunctionarissen met behulp van overtuigende social engineering-lokmiddelen die zich voordoen als het Iraakse ministerie van Buitenlandse Zaken”, aldus Zscaler. “De activiteit weerspiegelt ook bredere trends, waaronder ClickFix-achtige technieken en het toenemende gebruik van generatieve AI voor de ontwikkeling van malware.”
