Een nooit eerder gezien cluster van bedreigingsactiviteiten met de codenaam UNK_SmudgedSerpent wordt toegeschreven als de oorzaak van een reeks cyberaanvallen gericht op academici en deskundigen op het gebied van buitenlands beleid tussen juni en augustus 2025, die samenvielen met verhoogde geopolitieke spanningen tussen Iran en Israël.
“UNK_SmudgedSerpent maakte gebruik van binnenlandse politieke lokken, waaronder maatschappelijke veranderingen in Iran en onderzoek naar de militarisering van de Islamitische Revolutionaire Garde (IRGC),”, zei Proofpoint-veiligheidsonderzoeker Saher Naumaan in een nieuw rapport gedeeld met The Hacker News.
Het bedrijfsbeveiligingsbedrijf zei dat de campagne tactische overeenkomsten vertoont met die van eerdere aanvallen van Iraanse cyberspionagegroepen zoals TA455 (ook bekend als Smoke Sandstorm of UNC1549), TA453 (ook bekend als Charming Kitten of Mint Sandstorm) en TA450 (ook bekend als Mango Sandstorm of MuddyWater).
De e-mailberichten dragen alle kenmerken van een klassieke Charming Kitten-aanval, waarbij de bedreigingsactoren potentiële doelwitten binnenhalen door goedaardige gesprekken met hen aan te gaan voordat ze proberen te phishen naar hun inloggegevens.
In sommige gevallen blijken de e-mails kwaadaardige URL’s te bevatten om slachtoffers te verleiden een MSI-installatieprogramma te downloaden dat, hoewel het zich voordoet als Microsoft Teams, uiteindelijk legitieme Remote Monitoring and Management (RMM)-software zoals PDQ Connect gebruikt, een tactiek die vaak door MuddyWater wordt omarmd.
Proofpoint zei dat de digitale berichten ook prominente Amerikaanse figuren uit het buitenlands beleid hebben nagebootst die verband houden met denktanks als Brookings Institution en Washington Institute om hen een laagje legitimiteit te verlenen en de kans op succes van de aanval te vergroten.
Doelstellingen van deze inspanningen zijn meer dan twintig materiedeskundigen van een in de VS gevestigde denktank die zich richten op Iran-gerelateerde beleidskwesties. In ten minste één geval zou de bedreigingsacteur, nadat hij een reactie had ontvangen, hebben aangedrongen op het verifiëren van de identiteit van het doelwit en de authenticiteit van het e-mailadres voordat hij verder ging met enige samenwerking.
“Ik neem contact met u op om te bevestigen of een recente e-mail waarin u interesse toont in het onderzoeksproject van ons instituut inderdaad door u is verzonden”, lees de e-mail. “Het bericht is ontvangen van een adres dat niet uw primaire e-mailadres lijkt te zijn, en ik wilde de authenticiteit garanderen voordat ik verder ging.”
Vervolgens stuurden de aanvallers een link naar bepaalde documenten waarvan zij beweerden dat ze tijdens een komende bijeenkomst zouden worden besproken. Als het slachtoffer echter op de link klikt, wordt hij naar een valse landingspagina geleid die is ontworpen om de inloggegevens van zijn Microsoft-account te verzamelen.
In een andere variant van de infectieketen bootst de URL een inlogpagina van Microsoft Teams na, samen met een knop ‘Nu meedoen’. De vervolgfasen die worden geactiveerd nadat op de veronderstelde vergaderknop is geklikt, zijn in dit stadium echter onduidelijk.
Proofpoint merkte op dat de tegenstander de wachtwoordvereiste op de pagina voor het verzamelen van inloggegevens verwijderde nadat het doelwit ‘vermoedens had gecommuniceerd’, in plaats daarvan hen rechtstreeks naar een vervalste OnlyOffice-inlogpagina bracht die werd gehost op ’thebesthomehealth(.)com’.
“UNK_SmudgedSerpent’s verwijzing naar OnlyOffice-URL’s en domeinen met gezondheidsthema’s doet denken aan TA455-activiteit,” zei Naumaan. “TA455 begon in ieder geval sinds oktober 2024 met het registreren van gezondheidsgerelateerde domeinen, na een consistente stroom van domeinen met interesse in de lucht- en ruimtevaart, waarbij OnlyOffice recentelijk populair werd om bestanden te hosten in juni 2025.”
Op de nagemaakte OnlyOffice-site wordt een ZIP-archief gehost met daarin een MSI-installatieprogramma dat op zijn beurt PDQ Connect start. De andere documenten worden volgens het bedrijf als lokvogels beschouwd.
Er zijn aanwijzingen dat UNK_SmudgedSerpent zich bezighield met mogelijke hands-on-toetsenbordactiviteit om aanvullende RMM-tools zoals ISL Online te installeren via PDQ Connect. De reden achter de opeenvolgende inzet van twee verschillende RMM-programma’s is niet bekend.
Andere phishing-e-mails die door de bedreigingsacteur zijn verzonden, waren gericht op een in de VS gevestigde academicus, die hulp zocht bij het onderzoeken van de IRGC, en op een andere persoon begin augustus 2025, waarin werd gevraagd om mogelijke samenwerking bij het onderzoeken van “de groeiende rol van Iran in Latijns-Amerika en de implicaties van het Amerikaanse beleid”.
“De campagnes sluiten aan bij de Iraanse inlichtingenverzameling, waarbij de nadruk ligt op westerse beleidsanalyse, academisch onderzoek en strategische technologie”, aldus Proofpoint. “De operatie zinspeelt op een zich ontwikkelende samenwerking tussen Iraanse inlichtingendiensten en cybereenheden, en markeert een verschuiving in het Iraanse spionage-ecosysteem.”
