Підозрювана у зв’язках з Іраном кіберзлочинна група Dust Specter розгорнула нову цільову кібершпигунську кампанію проти державних службовців Іраку. За даними дослідницького підрозділу Zscaler ThreatLabz, зловмисники видають себе за Міністерство закордонних справ Іраку (МЗС) і використовують низку раніше невідомих .NET‑бекдорів — SPLITDROP, TWINTASK, TWINTALK та GHOSTFORM — для тривалого прихованого доступу до мереж держорганів.
Цільова кібершпигунська кампанія Dust Specter проти Іраку
Кампанію зафіксовано у січні 2026 року, її основними мішенями є чиновники та співробітники іракських міністерств. У фішингових листах і документах зловмисники імітують офіційні повідомлення МЗС: використовують відповідну візуальну стилістику, службову лексику та формати файлів, характерні для держкомунікацій. Це суттєво підвищує ймовірність відкриття вкладення або переходу за посиланням.
Ключова особливість операції — використання скомпрометованої інфраструктури іракських державних органів для розміщення шкідливих компонентів. Унаслідок цього мережевий трафік виглядає як легітимний обмін даними з урядовими серверами, що ускладнює виявлення на рівні міжмережевих екранів і проксі.
Сервери управління (C2) Dust Specter застосовують геофенсинг — приймають запити лише з певних регіонів — та додаткову перевірку заголовка User-Agent. Для звернень до C2 створюються випадково згенеровані URI з контрольними сумами, що робить практично неефективним просте блокування за шаблонами URL.
Ланцюжок зараження: SPLITDROP, TWINTASK і TWINTALK
SPLITDROP-дроппер і DLL side-loading у легітимних застосунках
Початковий етап компрометації стартує з RAR‑архіву з паролем, який дозволяє обійти автоматичне сканування вкладень поштовими шлюзами. Всередині міститься .NET‑програма SPLITDROP, що виконує роль дроппера: розгортає наступні модулі — TWINTASK та TWINTALK.
TWINTASK реалізовано у вигляді шкідливої DLL libvlc.dll, яка завантажується через техніку DLL side-loading легітимним файлом vlc.exe. Такий підхід дозволяє зловмисникам «сховатися» за довіреною цифровою підписою популярного медіапрогравача та знизити ризик спрацювання захисних рішень, орієнтованих на репутацію файлів.
Файловий обмін командами між TWINTASK і TWINTALK
Після запуску TWINTASK кожні 15 секунд перевіряє файл C:\ProgramData\PolGuid\in.txt на наявність нових інструкцій. Команди виконуються через PowerShell, а результати та помилки зберігаються у out.txt. Серед підтримуваних дій — закріплення у системі через модифікацію гілок реєстру Windows та інші типові для бекдорів операції.
Під час першого запуску TWINTASK додатково ініціює старт легітимної програми WingetUI.exe. Вона, у свою чергу, підвантажує DLL TWINTALK під виглядом hostfxr.dll. TWINTALK виступає як основний C2‑оркестратор: комунікує з сервером управління, отримує завдання, передає їх у TWINTASK через файловий канал, а потім повертає на C2 результати виконання. Додатково він підтримує завантаження та вивантаження файлів, що дає змогу розгортати додаткові інструменти шпигунства.
Для ускладнення детектування TWINTALK реалізує beaconing‑цикл з псевдовипадковими затримками. Замість рівномірних інтервалів звернень до C2 (які легко виявити кореляційним аналізом) використовуються плаваючі паузи, що «розмивають» сигнатуру трафіку.
GHOSTFORM та безфайлові PowerShell‑атаки
Наступний етап еволюції — бекдор GHOSTFORM, який об’єднує можливості TWINTASK і TWINTALK в одному модулі. Головна відмінність: замість запису команд і результатів на диск GHOSTFORM переходить до безфайлового виконання PowerShell‑скриптів у пам’яті. Такий підхід мінімізує кількість артефактів на диску та значно ускладнює роботу класичних антивірусів, орієнтованих на файлові сигнатури.
Google Forms як елемент фішингової легенди
Частина зразків GHOSTFORM містить жорстко прописане посилання на Google Forms, яке автоматично відкривається після зараження. Форма арабомовна, стилізована під офіційне опитування МЗС Іраку. Це одночасно підтримує правдоподібність легенди (жертва бачить «офіційний» опитувальник) і дає змогу додатково зібрати персональні або службові дані користувача.
Соціальна інженерія, ClickFix-підхід і роль генеративного ШІ
Інфраструктурний аналіз показав, що домен C2 meetingapp[.]site, який використовував TWINTALK, уже фігурував у кампанії Dust Specter у липні 2025 року. Тоді на ньому розміщувалася фальшива сторінка запрошення в Cisco Webex, де користувачів переконували самостійно скопіювати та виконати PowerShell‑скрипт для «підключення до наради». Такий сценарій відповідає відомим в індустрії ClickFix‑стратегіям, коли людині крок за кроком пояснюють, як запустити шкідливий код під виглядом «виправлення проблеми».
Скрипт створював каталог на пристрої, завантажував із того ж домену шкідливий файл, зберігав його як виконуваний та додавав завдання в Windows Task Scheduler з періодичним запуском кожні дві години. Це забезпечувало стійке закріплення зловмисників у системі.
Аналіз коду TWINTALK і GHOSTFORM виявив заглушки, емодзі та нестандартні Unicode‑рядки, що вказує на можливе використання генеративних ІІ‑інструментів під час розробки. Такий підхід допомагає швидко генерувати варіанти коду та ускладнює побудову однозначних сигнатур виявлення. На тлі схожих тактик з боку інших іранськоорієнтованих груп, зокрема OilRig (APT34), Zscaler оцінює атрибуцію кампанії Dust Specter з середнім до високого рівнем упевненості.
Ситуація з Dust Specter демонструє, як швидко еволюціонує кібершпигунство: від класичного DLL side-loading і файлового обміну командами до безфайлових PowerShell‑операцій та складних сценаріїв соціальної інженерії з використанням сервісів на кшталт Webex і Google Forms. Організаціям, особливо в державному секторі та на об’єктах критичної інфраструктури, варто посилити моніторинг PowerShell‑активності, впроваджувати сучасні EDR/XDR‑рішення, контролювати завантаження та підміну DLL, а також системно навчати співробітників розпізнавати цільовий фішинг. Проактивний підхід і регулярне тестування готовності до інцидентів залишаються ключовими умовами, щоб випереджати подібні угруповання хоча б на один крок.
