سمیه مهدوی پیام – مایکروسافت در گزارش جدید خود مدعی شد، کارشناسان رده‌بالای شاغل در امور خاورمیانه در دانشگاه‌ها و سازمان‌های تحقیقاتی در بلژیک، فرانسه، غزه، اسرائیل، بریتانیا و آمریکا، هدف حملات هکرهایی قرار گرفته‌اند که گفته می‌شود با دولت ایران مرتبط هستند.

در یک پست وبلاگی، تیم Threat Intelligence مایکروسافت اعلام کرد که از ماه نوامبر، زیرمجموعه‌ای از یک گروه هکری که آنها را طوفان شن نعناع (Mint Sandstorm) می‌نامند، از «فریب‌های فیشینگ شخصی‌سازی‌شده در تلاش برای مهندسی اجتماعی اهداف به منظور دانلود فایل‌های مخرب» استفاده کرده است. مایکروسافت همچنین اعلام کرد برخی از حوادثی که مشاهده کرده، شامل ابزارهای جدیدی است که قبلا ندیده بود.

اپراتورهای مرتبط با زیرگروه طوفان شن نعناع، مهندسان اجتماعی صبور و بسیار ماهری هستند که بیزینس آنها فاقد بسیاری از علائم مشخصه است. این امر به کاربران امکان می‌دهد به سرعت ایمیل‌های فیشینگ را شناسایی کنند. طبق اعلام مایکروسافت، در برخی کمپین‌ها، این زیرگروه از حساب‌های قانونی اما در معرض خطر برای ارسال فریب‌های فیشینگ استفاده کرده است.

علاوه بر این، گروه طوفان شن نعناع، به بهبود و اصلاح ابزار مورد استفاده در محیط‌های هدف ادامه می‌دهد؛ فعالیتی که ممکن است به گروه کمک کند در محیطی که در معرض خطر است، باقی بماند و یا هنگام شناسایی فرار کند.

شواهد حاصل‌شده از چندین حادثه نشان می‌دهد جدیدترین کارزار با درگیری فعلی به غزه مرتبط است. برخی فریب‌های فیشینگ مشاهده‌شده، جنگ اسرائیل و حماس را شامل می‌شود. محققان مایکروسافت بر این باورند که هدف این فیشینگ‌ها، دستیابی به دیدگاه‌های مختلف داخلی درباره درگیری حماس و اسرائیل است.

گروه طوفان شن نعناع توسط محققان دیگر با نام APT35 یا گربه جذاب شناخته می‌شود و گمان می‌رود با نهادهای خاص در تهران مرتبط باشند.

در گذشته، محققان مایکروسافت مشاهده کرده‌اند که اعضای این گروه به دنبال روزنامه‌نگاران، محققان، استادان یا افراد دیگر در قالب «کمپین‌های مهندسی اجتماعی با منابع فشرده» هستند.

آنها افزودند: «در این کمپین، Mint Sandstorm خود را به عنوان افراد برجسته از جمله به عنوان روزنامه‌نگار در یک رسانه خبری معتبر معرفی کرد.»

در برخی موارد، عامل تهدید از یک آدرس ایمیل جعلی استفاده می‌کرد تا شبیه حساب ایمیل شخصی متعلق به یک روزنامه‌نگار باشد و از این طریق، جعل هویت کند. همچنین بعضا ایمیل‌های خوش‌خیم را برای اهدافی ارسال می‌کرد که از آنها مقاله‌ای درباره جنگ اسرائیل و حماس درخواست می‌شد.

چندین مورد دیگر مربوط به حساب‌های ایمیل قانونی اما به خطر افتاده، متعلق به افرادی بود که سعی داشتند جعل هویت کنند. برخی ایمیل‌های اولیه حاوی محتوای مخربی نبودند، زیرا هکرها قبل از شروع فرایند جاسوسی به دنبال ایجاد رابطه با اهداف خود بودند. هنگامی که یک هدف موافقت می‌کرد به مقاله یا سندی نگاه کند، هکرها پیوندی را به دامنه مخرب ارسال می‌کردند که قربانی را به یک فایل .rar که ادعا می‌شد حاوی اسناد است، می‌برد.

مایکروسافت خاطرنشان کرد که این نوع تاکتیک‌ها، «ممکن است در موفقیت این کمپین نقش داشته باشند.» در چندین مورد، هکرها، درب پشتی سفارشی را روی سیستم‌های قربانی رها کردند و به آنها اجازه دادند دسترسی خود را حفظ کنند.

ابزار One Backdoor، به نام MediaPL، یک ابزار سفارشی ساخته‌شده است که به عنوان Windows Media Player، (برنامه‌ای که برای ذخیره و پخش فایل‌های صوتی و تصویری استفاده می‌شود)، ساخته شده است. درب پشتی می‌تواند ارتباطات رمزگذاری‌شده را به یک سرور تحت کنترل هکر ارسال کند، خود را خاتمه دهد یا دستور را اجرا کند.

محققان مایکروسافت معتقدند «توانایی کسب و حفظ دسترسی از راه دور به سیستم هدف، می‌تواند گروه Mint Sandstorm را قادر به انجام طیف وسیعی از فعالیت‌هایی کند که قادر است بر محرمانه بودن یک سیستم تاثیر منفی بگذارد.»

به خطر افتادن سیستم هدفمند می‌تواند خطرات حقوقی و اعتباری را برای سازمان‌هایی که تحت‌تاثیر این کمپین قرار می‌گیرند، ایجاد کند. با توجه به میزان پایداری، منابع و مهارت‌های مشاهده‌شده در کمپین‌های منتسب به زیرگروه طوفان شن نعناع، مایکروسافت همچنان به‌روزرسانی و افزایش قابلیت‌های شناسایی خود را برای کمک به مشتریان به منظور دفاع در برابر این تهدید ادامه می‌دهد.

در ماه‌های نوامبر و دسامبر، چندین آژانس امنیت سایبری پیشرو در ایالات متحده نسبت به کمپین یک گروه هکری که مدعی بودند با ایران مرتبط هستند و شرکت‌های آب‌رسانی ایالات متحده را هدف قرار می‌دهد، هشدار دادند. جو بایدن، رئیس‌جمهوری آمریکا نیز اعلام کرد که کاخ سفید یک پیام خصوصی درباره چندین حادثه اخیر مربوط به حمله به کشتی‌های تجاری در دریای سرخ، به ایران ارسال کرده است.