Подозреваемая в связях с Ираном киберпреступная группировка Dust Specter ведет целевую кибершпионажную кампанию против госслужащих в Ираке. По данным исследовательского подразделения Zscaler ThreatLabz, злоумышленники маскируются под Министерство иностранных дел Ирака и доставляют ранее не известные образцы вредоносного ПО семейства .NET‑бэкдоров: SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM.
Новая кибершпионажная кампания против Ирака
Маскировка под МИД Ирака и захват инфраструктуры
Кампания, зафиксированная в январе 2026 года, нацелена преимущественно на государственных чиновников и сотрудников министерств Ирака. Для повышения доверия Dust Specter использует фишинговые письма и документы, стилизованные под официальные уведомления МИД, а также задействует скомпрометированную инфраструктуру иракских госорганов для размещения вредоносных нагрузок. Это усложняет обнаружение атаки и делает сетевой трафик визуально похожим на легитимный.
Командные серверы группы применяют геофенсинг (фильтрацию по геолокации) и проверку заголовков User-Agent, принимая запросы только от целевых систем. Для обращения к C2 используются случайно сгенерированные URI с контрольными суммами, что затрудняет статическую блокировку по URL‑шаблонам.
Цепочка заражения: SPLITDROP, TWINTASK и TWINTALK
DLL side-loading и файловый обмен командами
Первая выявленная цепочка заражения начинается с RAR‑архива с паролем, что помогает обходить автоматическое сканирование. Внутри находится .NET‑программа SPLITDROP, выполняющая роль дроппера, который разворачивает модули TWINTASK и TWINTALK.
Компонент TWINTASK представляет собой вредоносную библиотеку libvlc.dll, загружаемую методом DLL side-loading легитимным бинарным файлом vlc.exe. Такой подход позволяет злоумышленникам использовать доверенную цифровую подпись легального ПО и снижать подозрительность. TWINTASK каждые 15 секунд опрашивает файл C:\ProgramData\PolGuid\in.txt на наличие команд, выполняя их через PowerShell, а результаты и ошибки записывает в out.txt. Среди команд — создание постоянства в системе через изменения в реестре Windows.
При первом запуске TWINTASK инициирует старт еще одного законного приложения из архива — WingetUI.exe, которое, в свою очередь, подгружает DLL TWINTALK (hostfxr.dll). TWINTALK выступает уже как основной C2‑оркестратор: он взаимодействует с сервером управления, получает задания, передает их в TWINTASK через файлы, а затем отправляет обратно на C2 результаты выполнения, одновременно поддерживая функции загрузки и выгрузки файлов.
Для усложнения анализа TWINTALK использует beaconing‑цикл с псевдослучайными задержками перед обращением к C2, что делает трафик менее предсказуемым и усложняет корреляцию событий в системах мониторинга.
Эволюция до GHOSTFORM и безфайлового PowerShell
Вторая, более новая цепочка заражения консолидирует возможности TWINTASK и TWINTALK в одном модуле — GHOSTFORM. Вместо записи команд и результатов на диск GHOSTFORM активно использует безфайловое выполнение PowerShell‑скриптов в памяти. Это существенно снижает объем артефактов на диске и усложняет работу традиционных антивирусов, ориентированных на файловые сигнатуры.
Google Forms как элемент фишинговой легенды
Часть образцов GHOSTFORM содержит жестко прописанную ссылку на Google Forms, которая автоматически открывается в браузере после заражения. Форма оформлена на арабском языке и имитирует официальный опрос Министерства иностранных дел Ирака. Такой прием позволяет одновременно закрепить легенду атаки и собрать дополнительные данные о жертве.
Социальная инженерия и ClickFix-подобные приемы
Анализ инфраструктуры показал, что домен C2 meetingapp[.]site, используемый TWINTALK, уже применялся Dust Specter в кампании июля 2025 года. Тогда злоумышленники размещали на нем поддельную страницу приглашения на встречу Cisco Webex и убеждали пользователей скопировать и выполнить PowerShell‑скрипт для «подключения к совещанию». Такой подход напоминает хорошо известные в индустрии ClickFix‑стратегии, когда пользователю пошагово объясняют, как самостоятельно запустить вредоносный код.
Запускаемый жертвой скрипт создавал каталог на устройстве, загружал с того же домена вредоносный файл, сохранял его как исполняемый и добавлял планировщик заданий Windows для автоматического запуска каждые два часа, обеспечивая устойчивое присутствие в системе.
Признаки связи с Ираном и роль генеративного ИИ
Исследователи связывают Dust Specter с иранской киберактивностью на основе нескольких факторов. Иранские группы, такие как OilRig (APT34), ранее уже применяли кастомные легковесные .NET‑бэкдоры и эксплуатировали скомпрометированную иракскую госинфраструктуру для кибершпионажа. Текущая кампания ложится в эту же тактическую модель.
Дополнительно, анализ исходного кода TWINTALK и GHOSTFORM выявил заглушки, эмодзи и нестандартный Unicode‑текст, что указывает на возможное использование генеративных ИИ‑инструментов при разработке вредоносного ПО. Это подтверждает растущий тренд: злоумышленники используют ИИ для ускорения создания кода, генерации шаблонов и избегания однотипных сигнатур.
С учетом применения сложных техник уклонения, социальной инженерии и повторного использования инфраструктуры, Zscaler оценивает атрибуцию кампании к Dust Specter с средней к высокой степенью уверенности.
Ситуация вокруг Dust Specter демонстрирует, как быстро эволюционируют целевые атаки на госорганы: от классического DLL side-loading и файлового обмена командами до безфайловых PowerShell‑операций и социальной инженерии в стиле ClickFix. Организациям, особенно в госсекторе и критической инфраструктуре, следует усилить мониторинг PowerShell‑активности, внедрять EDR/XDR‑решения, контролировать загрузку и подмену DLL, а также регулярно обучать сотрудников выявлять фишинг, даже если он маскируется под знакомые сервисы вроде Webex или Google Forms. Проактивный подход к кибербезопасности — единственный способ оставаться на шаг впереди подобных группировок.
