Dust Specter: APT-кампания против МИД Ирака с SPLITDROP и GHOSTFORM

В январе 2026 года исследователи ThreatLabZ зафиксировали кампанию, приписываемую предполагаемо связанной с Ираном APT-группе Dust Specter. Злоумышленники целенаправленно атаковали правительственных чиновников в Ираке, действуя под видом Министерства иностранных дел Ирака и используя компрометированные элементы правительственной инфраструктуры для распространения вредоносного ПО.

«ThreatLabZ отслеживал деятельность, связанную с предполагаемой связью с Ираном APT‑группировкой ‘Dust Specter’, нацеленную на правительственных чиновников в Ираке».

Ключевые инструменты и тактики

В кампании были задействованы недавно описанные вредоносные компоненты: SPLITDROP, TWINTASK, TWINTALK и GHOSTFORM. Их поведение и сочетание приёмов соответствуют ранее наблюдавшимся иранским операционным моделям APT.

• SPLITDROP — дроппер на основе .NET, который инициирует атаку, вводя жертву в заблуждение посредством запроса пароля. SPLITDROP использует шифрование AES-256 для сокрытия полезной нагрузки и при выполнении условий расшифровывает и разворачивает встроенные компоненты.
• TWINTASK — рабочий модуль, который опрашивает команды из указанного текстового файла, выполняет сценарии PowerShell и регистрирует результаты. Для закрепления на системе он вносит изменения в реестр, обеспечивая автозапуск при перезагрузке.
• TWINTALK — оркестратор управления (C2), использующий уникальные пути URI и проверку по пользовательскому агенту для снижения вероятности обнаружения. Запросы содержат токен аутентификации, сгенерированный во время выполнения, включающий идентификатор и версию бота.
• GHOSTFORM — RAT, объединяющий функционал предыдущей цепочки в одном исполняемом файле. GHOSTFORM выполняет команды, полученные от C2, непосредственно в памяти, что минимизирует следы на диске. Он применяет отложенное выполнение через «невидимую форму» и генерирует идентификатор бота на основе временной метки .NET assembly, в отличие от стохастического подхода TWINTALK.

Две цепочки атак

Аналитики выделяют две отдельные цепочки атак:

• Первая: запуск через SPLITDROP, который разворачивает TWINTASK (агент) и TWINTALK (C2). Эта связка ориентирована на устойчивую телеметрию и проверку запросов посредством встроенного токена.
• Вторая: использование GHOSTFORM как самостоятельного RAT, совмещающего сбор и исполнение команд в памяти, с иной методикой генерации идентификатора бота и дополнительными приёмами уклонения.

Методы уклонения и социальная инженерия

Обе цепочки демонстрируют широкое применение методов скрытности и обхода детектирования:

• передача управляющих сигналов в трафике с использованием уникальных URI и проверки пользовательского агента;
• рандомизированные задержки и кодирование выполнения команд;
• выполнение команд в памяти (file‑less подход), минимизирующее артефакты на диске;
• применение отложенного выполнения и «невидимой формы» в GHOSTFORM для отсрочки обнаружения;
• включение элементов социальной инженерии — использована тактика в стиле ClickFix style, при которой пользователей принуждают выполнить вредоносные действия.

Отмечается также растущий интерес злоумышленников к использованию генеративного искусственного интеллекта при разработке вредоносного ПО, что повышает скорость создания и вариативность инструментов.

Атрибуция и цели

Приписывание кампании Dust Specter основано на сочетании факторов: сходстве инструментов и приёмов с ранее известными операциями, нацеленности на правительственный сектор Ирака — в частности, Министерство иностранных дел — и устойчивых оперативных методах, характерных для групп, связанных с Ираном.

Выводы

Анализ ThreatLabZ подчёркивает растущую изощрённость операций: злоумышленники комбинируют технические приёмы скрытности и устойчивости с социально-инженерными подходами, чтобы обеспечить успешное внедрение и длительное присутствие в целевых сетях. Наблюдаемые компоненты (SPLITDROP, TWINTASK, TWINTALK, GHOSTFORM) демонстрируют эволюцию инструментов, где ориентир смещается в сторону более гибких, труднообнаруживаемых и модульных архитектур.

Организациям в регионе и особенно целевым ведомствам рекомендуется повысить внимание к контролю целевого трафика, мониторингу аномалий в поведении процессов и применять многофакторную верификацию для операций, требующих ввода учетных данных или выполнения команд пользователем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Dust Specter: APT-кампания против МИД Ирака с SPLITDROP и GHOSTFORM".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.