执行摘要

2025年10月,APT35(也被称为“迷人小猫”)的内部文件在GitHub上被泄露。对泄露文件的分析显示,一支由军衔组成的、以配额为导向的网络行动部队在官僚军事指挥系统内运作。文件内容类似于内部管理文件、月度绩效报告、签名主管评审以及经过编辑的KPI,这些数据都以可衡量的产出为导向,而非临时机会主义。

操作员通常会提交月度绩效评估,以列举工作时间、完成任务、钓鱼成功率以及利用指标;然后,主管将这些输入内容汇总到每日和活动级别的报告中,记录到凭据收益率、会话停留时间以及高价值情报提取。专业团队被明确划定:利用开发(尤其是Ivanti和Exchange/ProxyShell工具),凭据重放和重用,人类工程与远程验证(HERV)风格钓鱼活动,以及实时监控被泄露的邮箱,以持续收集HUMINT。文件和日志显示任务处理、移交和监督,这是一种专为可重复收集而设计的工作流程。

 

从2022年5月起,该组织开展了一项区域性的“交流”开发行动,将广泛的侦察行动与精确的勘探后贸易相结合。操作顺序在各项内容上保持一致:建立优先目标队列,重点关注外交、政府和企业网络;运行ProxyShell、AutoDiscover和EWS攻击;验证贝壳并提取全球地址列表(GAL);利用HERV钓鱼网络钓鱼技术将采集的联系人武器化;并通过邮箱监控和凭证重复使用,维持持续的情报收集。内部日志、凭据转储和“性能KPI”模板证实了这一端到端的交易,并揭示了经过深思熟虑且可重复的流程。

文件综合显示,一个官僚化的情报收集机构具备结构化任务、可衡量的输出、监督监督以及专门团队,侧重于系统访问、持续收集以及可利用的情报成果。

泄露地址：https://github.com/KittenBusters/CharmingKitten

垃圾桶:文件分析

上传的材料构成了一条紧密相连的法医线索,可映射技术和组织。在技术边缘(例如基础设施攻击)中,内存和服务器工件包括一个包含明文凭证的LSASS转储(mfa.tr.txt)以及来自MFA.KKTC(2022年4月)的NTLM哈希值,以及2023年12月至2025年1月的网络访问日志。这些日志显示了RDP msthash探针、.env/SendGrid采集操作,以及广泛记录的卷曲路径扫描,可记录实际的妥协和机会主义的扫描活动。Exchange 工件(ad.exchange.mail_* GAL 导出)和带注释的 ProxyShell 目标列表(ProxyShell_target_*)显示了精确的目标和攻击面:土耳其/TRNC、沙特阿拉伯、黎巴嫩、科威特和韩国的外交、政府和大型商业邮件系统,其操作记录可识别成功的贝壳、故障、遗留的DN问题以及网络壳路径。

技术指标的补充是揭示漏洞被武器化过程的剧本和转化说明:Ivanti技术评论(Ivanti…pdf)将 سند بررسی 设备CVE转换为远程代码执行路径,而内部钓鱼框架(phishing herv.pdf)则提供HERV、风格诱饵模板、广告活动指标以及操作程序,用于将采集的GAL转化为有效的收集节点。每日运营记账、HSN/MJD每日报告(1403系列)和MJD竞选报告(1403年5月至7月)提供了人性化的层次:发送的诱饵表、记录的凭据以及邮箱停留时间,以及主管评论和升级日志,进入HUMINT和分析单元。

重要的是,该数据集将虚拟访问与实体工作场所关联起来:现场录入/退出日志(entry_exit_form.pdf)可确认操作员的出勤情况,并支持集中作业和监督的画面。基于图像的波斯语PDF图通过OCR转换为结构化的IOC表格,而演员地图则通过将视觉素材转化为机器可读的指示器(Actor Maps / OCR Extracts)来关闭循环。所有物品均在DTI证据库中交叉引用,从漏洞研究与利用、通过凭证采集和钓鱼,到长期邮箱监控和人类情报利用,形成了端到端的证据链。

文件	描述
mfa.tr.txt	2022年4月,来自MFA.KKTC的LSASS转储(Mimikatz),明文信条与NTLM哈希值。
访问。log.txt	2023年12月至2025年1月,网页、访问日志、RDP msthash探针、.env/SendGrid 采集、卷曲路径扫描。
ad.exchange.mail_*	将GAL出口业务交由土耳其/克罗地亚国家石油公司(TRNC)、沙特(拉比)、黎巴嫩(海关)、科威特、韩国。
代理Shell_target_*	注释目标列表(TR、SA、KW、KR、IR),附注:Shell/refaled/legatureDN/path .aspx。
伊万蒂. سند بررسی … pdf	将Ivanti设备CVE转换为RCE的技术开发说明。
钓鱼 herv.pdf	内部钓鱼,框架手册,包含示例HTML模板和指标。
HSN / MJD每日报道(1403年系列)	操作员KPI表格:发送的诱饵、已捕获的凭据、邮箱停留时间。
MJD 竞选报告(05–07 1403)	每日业绩汇总;主管评论;将日志升级至HUMINT & Analysis各部门。
和 امیرحسین	现场访问日志确认了实体操作员的出勤情况,这是集中式工作场所的证据。
演员地图 / OCR 提取	基于图像的平面版Farsi PDF(转换为CSV)的结构化IOC。

归因评估

对作战数据、辅助文档和已回收文物的分析充分表明,该数据集中所代表的战役由伊斯兰革命卫队情报组织(IRGC IO)的一个部门进行,特别是被广泛追踪的集群,称为APT35,也称为Charming Kitten、PHOSPHORUS(Microsoft)、TA453(Proofpoint)或APT42(Mandiant/Google)。该组织代表了IRGC的网络情报部门,致力于长期从事间谍活动并影响行动。

这些材料与迷人小猫生态系统的已知运作方式之间的对齐是毋庸置疑的。泄漏事件中记录的交易所利用漏洞波(利用ProxyShell链、EWS枚举以及用于全球地址列表(GAL)和邮箱提取的PowerShell自动化),与历史上被归因于APT35及其分支的行业特征完全相反。

这种对外交和政府邮件服务器的关注,加上用于持久访问的凭证盗窃和OAuth代币回放,反映了以战略情报收集为核心而非机会性妥协的竞选目标。

泄露的伊朗语言文件中观察到的官僚结构提供了进一步的证实。模板化的KPI报告、主管审批、出勤情况表以及配额驱动的绩效指标均表明其组织结构属于由国家管理、层级结构的组织,而非犯罪或承包商模式。这些特征是此前泄露的APT35内部材料的并行描述,这些材料显示了相同的报告结构和基于效率的排名系统,这是在军事指挥监督下运作的制度化IRGC部队的明确标志。

进一步强化这一归因是设定的目标。该活动重点关注土耳其、黎巴嫩、科威特、沙特阿拉伯、韩国和伊朗国内的外交部、海关当局、能源和电信服务提供商及其他高价值部门,这恰恰符合伊朗国际革命卫队(IRGC)的情报重点。政治敏感和经济战略实体的加入,表明了一项双重使命:集聚与地缘政治影响力。这些目标与伊朗伊斯兰共和国革命卫队(IRGC)为外交政策、安全和反情报目的收集信息的职责相一致。

尽管与其他伊朗集群存在一些技术重叠,尤其是使用Ivanti和ProxyShell漏洞的情况,这些漏洞也出现在APT34(OilRig)和MuddyWater的运营中,但此处的运营结果存在显著差异。这些与MOIS关联的团体通常强调初始访问和基础设施中断;相比之下,该参与者则强调基于采集地址簿的邮箱级持久化、HUMINT提取以及迭代钓鱼循环。该集合周期的复杂程度和连续性与全球范围内观察到的APT35/TA453/APT42活动模式完全一致。

总之,现有证据指向由IRGC IO(信息运行)下属组织在“迷人小猫”/APT35 框架下策划的由国家主导的情报收集行动。该单位的特征——结构化治理、以交易所为中心的贸易、凭据、基于持久性以及以区域为重点的定位——将其定位为伊朗更广泛的网络情报机构中一个纪律严明、以任务为导向的要素,作为IRGC传统人类情报任务的现代数字延伸。

组织结构与指挥层级

泄露的材料揭示了一个结构化的指令架构,而非一个去中心化的黑客组织,一个具有不同层级、绩效监督和官僚纪律性的组织。在翻译后的波斯语报告中,KPI表格和人员文件(包括entry_exit_form.pdf和1403系列操作员报告)中,同样的正式布局重复了一遍:一个在伊斯兰革命卫队情报组织(IRGC,IO)监督下运作的网络情报团。

指挥与监督

在最高职位上,负责发布每日指令、分配业务配额以及批准任务范围的竞选协调小组。这些协调员作为IRGC IO网络部门的管理部门,将战略情报要求、外交情报、政治影响或经济映射转化为离散且可追踪的行动。每项活动均对应一名指定的首席分析师,负责管理负责开发开发、获取凭证、钓鱼操作和实时邮箱监控(RTM)的运营子团队。

层次结构向下延伸至运算细胞,每个单元均专注于技术领域:

• 利用开发团队将Ivanti、ProxyShell和PowerShell链技术应用于可重复使用的脚本和RCE游戏本中。
• 凭据和访问团队进行LSASS转储、代币重放以及滥用OAuth以持续进行。
• HERV(HERV – 人类工程与远程验证)网络钓鱼单元精炼HTML模板、MFA、疏通技术和KPI,驱动诱饵活动。
• RTM 和 HUMINT 联络团队监控被泄露的邮箱、标记“高大、价值”账户,并将情报路由给人类分析师,以获取上下文的利用。

每个单位的主管将绩效数据汇总为标准化的“每日绩效表”,tasks completed, credential yields, efficiency rate, and dwell time衡量任务完成、凭据收益率、效率和停留时间等指标。每位操作员都会在报告上签名,“escalate to analysis,”而主管则用“经批准”、“逐步调整分析”或“重新调整模板方差”等评论来标注绩效。这些记录按顺序查看时,功能类似于军事行动报告后的军事任务:正式化、评估并接受上级指挥部的审查。

身体集中化与出勤

出入境表格证实,这些操作人员在一个集中且有保障的设施中工作。每个徽章条目对应于操作文件中列明的相同人员,确认的是在场指挥中心,而非远程承包商模型。时间输入/时间-日志与钓鱼活动和 Exchange 利用突发事件的时间戳精确匹配,意味着同步切换和监督执行窗口。上传图像中可见的徽章标识显示,IRGC 关联的机构品牌,可能是用于联合 HUMINT-SIGINT 运营的受控政府或承包商综合体的一部分。

官僚文化与监护权链

这些文件的官僚语气表明了一种军事风格的问责模式:操作人员提交,主管确认,分析师升级,以及协调员向上报告IRGC IO指令。即使是内部通信也反映分层地址,运算符按标题指上级,报表以相同的模板格式排列,评论则引用“效率提升”和“任务依从性”。这种结构的精确性将可能呈现的零散网络事件转化为可重复的情报管道,由可测量的输出调控。

总之,这些材料所揭示的层级结构描绘了一个被组织为网络间谍事业的国家运行情报机构。该结构反映了传统的IRGC指挥原则,其集中监督、委派专业化以及绩效问责制均适用于数字领域。这并非一个松散的自由职业者网络;它是一个有条不紊的机构,其工作流程、人员控制和管理审查周期直接反映了伊朗现有的军事和情报官僚体系。

人员与组织结构

APT35语录中所包含的人员和结构数据,体现了伊朗国家网络部队在更广泛的伊朗革命卫队(IRGC)框架下运作的制度化等级制度。在提取的月度绩效报告(بهمن ماه )和活动摘要中,人员始终按工程名称、操作别名或数字标识符进行列出。这一模式反映了伊朗内部国防部门的官僚机构,即正式的角色追踪、配额制度和分级报告,使得对技术运作进行中央监督。

这些材料描绘的不是松散的承包商协会,而是一支在指挥与控制官僚机构中运作的有薪运营人员队伍。月度报告由主管进行记录、审计和注释。对人员进行有关漏洞部署速度、数据泄露成功以及任务指令合规性的审查。

身份确认人员及操作人员

指挥与作战监督

在该建筑的顶端,阿巴斯·拉赫罗维(عباس راهروی )又名阿巴斯·侯赛尼,一位与伊朗革命卫队(IRGC)有关的官员,负责创建和管理一个前线公司网络,作为持续开展网络间谍活动的行政和技术掩护。在拉赫罗维的领导下,这个先进的持续威胁组织(APT)已针对包括土耳其、阿联酋、卡塔尔、阿富汗、以色列和约旦在内的中东和海湾地区的电信、航空和情报领域开展了进攻性行动。

结构层次结构和子细胞

在该组织内部,沃索吉·尼里(وثوقی نیری نیری )被视为与拉赫罗维企业层级相关的中级至高级协调员。根据上传的“گزارش عملکرد ماهانه 月度绩效报告”中观察到的确凿证据和文件格式,Niri 可能履行技术管理联络职责,连接现场操作人员以及监督干部。他的名字与讨论效率优化、任务验证和任务-依从性反馈循环的章节在语境上保持一致,建议直接参与绩效监督和工作流程标准化,这是IRGC指挥学说的显著特征。

尼里在拉赫罗维指挥层级中的地位,与IRGC的混合智能模型相呼应:即一个专注于功能特化单元的集中式领导。每个单元格都通过统一的报告模板进行报告,强化了可量化的问责机制和军事式指挥链的内部文化。

活动与反情报授权

在伊朗革命卫队反情报局的指导下,拉赫罗维的APT已将其任务范围扩展至境外间谍活动之外。内部通讯和提取的文件显示,伊朗境内及境外对被认定为“政权反对者”的伊朗公民进行了国内监视。这一双重重点、外部情报收集和内部压制,体现了伊朗将SIGINT和HUMINT行动融合在一起,而网络机构在海外充当进攻工具,也充当国内内部安全执法者。

来自Dump的证据数据

该网络的曝光得益于广泛的证据链,包括:

• Official IRGC-linked documents从APT内部网络获取的与IRGC相关的官方文件;
• Personnel imagery人员图像将个人与特定行动联系起来;
• 攻击和目标报告,表明任务周期清晰;
• 反映多语言目标剥削的翻译与分析文件;
• Chat logs from internal communications tools来自Issabelle、3CX和Output Messenger等内部通信工具的聊天日志,这些工具均验证了团队内部协调、任务分配和报告节奏。

这些发现共同消除了曾经在IRGC机构内部所担任的演员们所持的任何合理否认。结构化管理监督的发现,包括拉赫罗维和沃索吉·尼里等人物RahroviVosoughi Niri,表明这些人并非自由网络犯罪分子,state-directed operatives而是由国家主导的特工,他们在一个经过官僚化的情报机构中运作,这些情报机构旨在实现持久、精准和可否认的控制。

操作人员:

在垃圾场内,在伊朗举行的一场关于以色列的会议上发现了十九枚身份证。题为“以色列:脆弱的镜子”(«اسرائیل آینه شکننده» )的会议徽章为数据集增添了罕见的人性维度,ideological event将长期以来因伊朗网络间谍活动而长期依赖的技术操作员与国内意识形态活动的实际参与者联系起来。本次会议于2023年举行,期间以Sahyoun24及附属文化安全研究所为旗帜举办,Sahyoun24期间举办此次研讨会,旨在举办一场关于以色列战略脆弱性的宣传研讨会和分析论坛。主题“以色列作为反映自身内部分裂、社会衰败和地缘政治疲惫的脆弱镜子”,是以色列关于伊朗情报叙事的蓄意反转。 Official writeupsdescribe panelspsychological warfaremedia confrontation官方文章描述了关于心理战、媒体对抗以及“后犹太复国主义社会凝聚力崩溃”的专题讨论。它被设在德黑兰的巴格圣防博物馆(Baq Sacred Defense),该地点与伊斯兰革命卫队作为革命防御守护者的自我形象有着象征性关联。

从操作员垃圾场中缴获了十五名被点名人员的徽章,这些证件附带了编号和标准化的二维码,这表明这不仅是一次宣传活动,更是一场有管理、安全与社区之间的聚集活动。所列与会者(诺鲁齐、沙里菲、哈塔米、穆萨维、纳贾菲、纳西米等)对应的是APT35材料中标识的相同内部通信集群和设备痕迹。文件编号、文件命名约定以及泄漏中的本地存储目录的重叠显示,这些徽章是作为操作人员个人文件的一部分存档的,表明参会者是与IRGC关联的同一技术单位的成员或关联方,负责本语库中其他地方详述的Exchange开发活动。

在该运营生态系统中,Israel: The Fragile Mirror参加“以色列:脆弱镜报”的活动已履行多项职能。首先,它为该组织的网络行动奠定了意识形态上的合理性,将入侵和信息窃取重新定义为“防御性圣战”,而非间谍活动。其次,此类会议充当了招募人员和网络平台,IRGC Cultural-Cyber Directorate使媒体官员、技术专家以及IRGC文化-网络局下属的宣传部门相互交汇。这些面对面会议可能加强了运营网络钓鱼和交易所入侵行动的运营商与制作针对以色列、海湾地区和西方媒体受众的虚假信息内容之间的跨部门协作。

该活动的议程,psychological warZionist information operationsdigital sovereignty特别是关注心理战、犹太复国主义信息行动和数字主权问题,反映了APT35运动中所体现的战术学说。在会议期间拍照或注册的这些操作人员随后利用以色列和西方的外交借口,实施了有针对性的网络钓鱼和窃取凭证行动。“脆弱的镜子”会议所提供的意识形态框架将此类网络活动定位为反叙事行动:削弱对手的士气,并利用以色列社会内部存在的分裂现象。文化规划与作战任务之间的这种联系,体现了伊朗网络设备如何将软实力灌输与进攻性贸易相结合,并培训其人员通过其他手段将数字间谍活动视为心理战的延续。

实际上,会议提供了一个半官方的支持措施,网络运营商可以通过学术或文化接触的掩护进行情报旅行、交流和交流,这符合自2018年以来观察到的国际情报与革命卫队(IRGC)和情报部的惯例。徽章的顺序编号和统一的二维码表示集中的注册和身份管理,ThaqebSaqar可能通过与先前数据集中关联的塔格布和萨卡尔技术机构相同的行政办公室进行。通过将APT35的技术产出置于这种意识形态环境中,证据表明其网络行动并非非法举措,而是基于“以色列:脆弱镜子”等受制裁事件所倡导的共同世界观而植根于国家对接、官僚主义正常化的活动。

总之,本次会议是修辞与运作之间的桥梁:一种针对APT35网络学说的信念体系的物理体现。对恶意软件进行编码并泄露外国外交部凭据的操作人员也参加了关于“犹太复国主义政权垮台”的讲座。他们出席此次活动凸显出,伊朗国家的网络部队并非脱离技术专家,而是意识形态上具有社会化的干部,同时接受宗教、宣传和数字战的训练。

内部文档显示,一个由命名和编号运算符组成的结构化生态系统,在严格的指令层级下运行。人员身份由专业职称、首字母和数字名称一致地反映,体现了官僚形式和业务划分。每个名称对应一个明确的功能通道——工程、开发、分析或管理——建议有意识地分工,以确保跨活动过程中的连续性和问责性。重复使用“工程师”(مهندس)这一荣誉,凸显了多个人的技术地位和正式的就业状况,而数字“操作员”标签则表示基于任务的化名身份。这些记录综合表明,该单位以有组织的劳动力形式运作,而非临时黑客集体,其绩效由主管机构以类似于军事或情报指挥结构的方式进行跟踪、审查和签署。

工程师雷扎(مهندس رضا)

被反复提及为监督基于 Exchange 的漏洞开发基础设施维护和部署的技术负责人。Reza 的名字至少出现在两份不同的绩效报告中,与扫描操作和正常运行时间监控有关。情境指标表明,在负责访问维护的小组中,将一个中级管理角色协调起来。

工程师基安(مهندس کیان)

以高级分析师或主管身份出现。“团队基安”(تیم کیان )一词与他的名字互换使用,这意味着基安管理着一个独立的操作单元。他的团队的指标强调利用改进,建议关注开发后的工具和坚持。

马吉德·S(مجید س)

与枚举、横向移动和网络扫描相关。他的报告条目的格式反映了负责发现和绘制脆弱服务技术专家的格式。

赛义德·穆罕默德·侯赛尼(سید محمد حسینی)

在多个分析摘要中提及,通常担任行政或监督职务。上下文意味着他充当作战单位与上级指挥部门之间的内部联络。

阿里-雷扎·卡里米(علیرضا کریمی)

在系统支持和网络配置的背景下描述。卡里米的工作与伊朗互联网服务提供商空间内的内部基础设施维护以及可能的VPN路由保持一致。

M.拉赫马尼(م。رحمانی

每月KPI电子表格中以绩效追踪和报告官的身份出现。他的角色显得文职严谨,但颇具批评性——他将操作员统计数据整合为更高层次的分析报告,以供指令审查,并担任内部指标分析师。

操作员 04 / 操作员 07(اپراتور ۰۴ /)

与 Exchange 开发操作相关的数字标识符。每个“操作者”名称对应于日志语录库中的唯一用户,这意味着要么使用化名的员工账户,要么包含特定任务的凭证集。2022年5月至6月,运营商04被反复观察到交易所的利用记录;操作符07在后续的持久化活动中出现。

沙希德团队(تیم شهید)

被视为审计或培训细分领域,可能与内部质量控制相关。沙希德(شهید)一词常用于伊朗以人员伤亡命名的部队的军事命名法。

技术和专注于利用的人员

M.卡泽米(مکاظمی

出现在Ivanti Connect安全利用测试笔记中。卡泽米的条目涉及补丁验证和漏洞回归检查,表明其在开发过程中具有一个负责利用验证的红队工程角色。

A。穆萨维(ع。موسوی

在网络钓鱼基础设施部分中命名,可能负责域名注册以及运营邮件服务器的控制。穆萨维的简介表明,在实现社会工程推广与后端基础设施之间差距的协同技术-运营方面具有优势。

S。加塞米(س。قاسمی

与收藏类剧本和外露文字相关。加塞米的职责可能包括凭据捕获管道的自动化以及用于报告的数据规范化。

组织与制度背景

IRGC 13号网络单元( یگان سایبری ۱۳ سپاه پاسداران انقلاب اسلامی )

APT35与13单元之间的结构关系与已知的IRGC网络部队指挥链保持一致,Unit 13其中13号机组作为技术骨干网,支持进攻行动和防御性研发。

结构融合:IRGC IO 50单元、APT35和集成命令设备

IRGC Intelligence Organization(IO)第50单元(内部代号为“Thaqib”)的曝光,完成了从APT35/Charming Kitten文档集中长期推断的组织谜题。第50单元代表了伊朗技术入侵指令和心理操作要素的制度融合,揭示了官僚监督、网络间谍和反情报如何融入伊朗革命卫队的指挥体系。

该建筑的顶端是阿巴斯·拉赫罗维(又名阿巴斯·侯赛尼),他被认定为高级IO-IRGC网络指挥机构。拉赫罗维的职责——通过内部项目材料中的发票、人事档案和业务往来确认——与APT35内部绩效报告中所述的“高级协调员”职能并行不悖。他对包括安迪山·塔法克·塞菲德(“白人思想深度”)等实体在内的前线公司的掌控,为APT运营商获得薪酬、任务和任务指标提供了行政布局,从而消除了军用与文职人员之间的鸿沟。

贝尼思·拉赫罗维、马努什赫尔·沃索吉·尼里成为行政签字人和绩效管理官员。他关于就业和运营记录的名称,直接对应于从APT35数据泄露事件中恢复的月度绩效报告(گزارش عملکرد ماهانه )中所显示的管理语言和模板一致性。相同的措辞“效率提升”、“任务遵从”、“任务验证”以及操作人员工时的标准化计算表明,尼里办公室是技术操作员与IRGC领导层之间的官僚桥梁。与内部波斯语报告中相同的层次结构——操作员→主管 → 协调器 → 指挥——出现在拉赫罗维的50号单元中,证实了APT35的工作流程已嵌入到IO-IRGC的机构指挥链中。

从技术角度来看,与50号机组相关的Thaqib RAT代表了APT35语录中所记录的Ivanti和ProxyShell开发流程的进化后继者。两者都依赖于相同的贸易:网络钓鱼和供应链在初始访问中的妥协,基于PowerShell的持久性,凭据窃取,以及通过受控的伊朗互联网服务提供商(特别是Zitel(AS50810)进行分期渗透,这些漏洞也出现在分析的访问日志数据集中。共享工具谱系和基础设施揭示了在IO-IRGC监管下维护的统一开发管道,其中50号机组作为多个面向外向的APT团队的工程和运营核心。

从操作角度来看,重叠范围远不止于技术目标。50号机组的双重职责——在监控国内异见人士的同时,对地区和西方目标进行外部间谍活动,与APT35在HUMINT、SIGINT和影响力行动中的已知融合相呼应。对内部协作平台(Issabelle3CX、Issabelle、Output Messenger)的恢复提及,进一步证实了在“Thaqib”和APT35工作流中共享通信生态系统的协同活动。

综合来看,证据表明,APT35并非孤立的威胁行为者,而是IRGC IO 50单元的下属分支,通过Rahrovi的指挥单元进行报告,并由Vosoughi Niri办公室进行管理。内部月报、程序性工件和基础设施遥测形成一个持续的证据链,描绘了一个单一的国营企业,将技术入侵、信息操作和国内反情报统一为单一指令架构。曾经被归类为离散集群的——APT35、迷人的小猫、磷——是实践中的,由50单元监督的IRGC IO网络间谍生产线内的模块化团队

网络与目标基础设施参考

一组循环中的国际IP地址出现在关联日志中,既反映了操作中继点,foreign targets也反映了外国目标。这些地址模式证实,APT35 利用国内互联网服务提供商(用于分期)和国际知识产权(用于目标访问),通过区域多元化的基础设施保持运营分离。

活动与代号分类

• APT35 为泄露的语料库提供统一代号,代表 APT35 的内部报告和漏洞管理环境。
• Operation KouroshOperation ShayanOperation Amir Hossein库罗什行动、沙扬行动、阿米尔·侯赛因行动——可能是与 بهمن ماه 性能周期相关的内部月度或特定操作代码。
• “约旦运动”(کمپین جردن )——面向中东目标的外部行动;交叉参照表明,该活动聚焦于政府和电信机构。

操作分析评估

人员循环模式、结构化绩效跟踪和正式层级结构强化了APT35代表一个由官僚管理、由国家主导的进攻型企业。人员头衔和工程名称与伊朗国防部门机构的名称相呼应,表明行动是在机构监督下实施的,而非自由职业。

将文书、技术和管理职能(例如拉赫马尼的指标跟踪、礼萨的技术监督、基安的团队领导)相结合,体现了一个情报组织,其成功程度在数量上经过充分衡量并受到严格监督。正规教育协会(伊玛目侯赛因大学)和一线公司(帕达泽斯·萨泽公司)的存在进一步证实了IRGC的影响力。

这一架构使伊朗的网络机构能够将日常作战成果与战略情报目标保持一致,监测对方通信,保持地区态势感知,并确保持续监控中东和亚洲的外交和基础设施网络。

运营主题

文档显示了一个严格管理的系统,每个操作者都遵循统一的报告模板,而非临时说明。每份表格记录标准化指标、已完成的任务、效率率和主管意见,将各个操作转化为可量化的绩效数据。这种官僚结构使主管能够对人员进行排序、重新分配和奖励,从而有效地将模板转化为计分卡,以在机会主义自由职业中保持一致性、可审计性以及纪律性、可重复的行为。

侦察是明确的双模式。该设备大规模运行全互联网的发现,对地图服务进行广泛扫描,识别暴露的终端,并优先处理各类易受攻击的软件。这些大规模侦察通行证随后被细化为国别和特定行业的热门名单:精选的ProxyShell目标套装、优先的交易所场所以及用于手动利用的精心挑选的主机。结果是一个漏斗,根据区域目标量身定制高价值的目标队列。

该系列以设计为交换中心。该组织将 Exchange 攻击链(ProxyShell、AutoDiscover、EWS 枚举和 PowerShell 驱动任务)武器化,用于提取邮箱内容和全局地址列表。这些文物既是情报又是基础设施:GAL 种子网络钓鱼清单;邮箱长,运行 HUMINT 传感器;采集的信息可揭示后续目标和操作环境。

与此同时,坚持是凭据驱动的。内存和令牌窃取工具(Mimikatz 样式转储)、自动令牌重放以及对委派的 OAuth 流量的滥用,用于将初始访问转换为可持续的站点。运营商不再仅仅依赖脆弱的网络外壳,而是将凭证重复使用和代币持久化融入其生命周期,即使单个主机被修复,也能实现重复访问。

最后,剥削和社会工程被整合成一个闭环。类似HERV的钓鱼操作会生成凭据,为开发团队提供信息;被入侵的邮箱既能验证访问内容,也能生成新的诱饵和联系人列表。这形成了一个自我维持的循环,在程序化控制下,侦察、开发、查验和钓鱼不断相互补充。

地缘政治目标与竞选目标

数据集中的专注和观察目标指向一种战略性的、具有广泛区域的智能能力,而非随机的机会主义。地理分布集中在土耳其、土耳其北塞浦路斯共和国、黎巴嫩、科威特、沙特阿拉伯、约旦、韩国以及伊朗国内目标,其业务均根据各地区的政治和技术格局量身定制。行业选择屡见不鲜地青睐高价值收款点、多因素认证网关、海关机构、电信运营商、能源公司、医院、托管服务提供商,以及食品和制造供应链,这些渠道均具备可获取的可操作性和战略优势。

该团队的运营目标是明确且多层次的。首先,战略性HUMINT侧重于持续监控邮箱和利用GAL来收集外交人员往来和内部通信。其次,政治影响力来自于选择性披露和将敏感材料作为强制性工具的升级。第三,经济侦察旨在绘制供应链和关键基础设施的地图,以指导目标定位及未来可能的行动。第四,通过将新披露的CVE武器化并将这些技术编入可重复的游戏手册,来实现能力发展。这些重点领域共同描述了一位演员优先进行持续的情报收集、影响力以及进攻能力的持续成熟。

目标实体的意图分析

在记录到的活动中,该单位的意图与明确的、针对特定目标的计算方法相呼应。针对政府和关键基础设施组织,其目标是持续收集情报,并长期获取战略开发。随着大型商业和电信运营商的发展,业务重点转向了资本收成,并逐步转向上游客户和合作伙伴,同时反对中小区域目标,这些业务注重可扩展的账户接管和数据采集,以扩大更广泛的推广活动规模。这种优先级排序以集中任务和基于KPI的工作计划为指导,体现了一种将持久立足点、凭证多样性以及将隐蔽访问转化为更广泛网络优势的操作性理论。

图尔基耶:泰尔克电信(212.175.168.58)

Observed activity:观察活动:以交换为中心的入侵尝试、凭据收集漏斗(GAL → HERV),以及由Team Kian验证的持久访问脚本。

可能的意图:

• Regional situational awareness:区域态势感知:土耳其政府和关键电信线路在监测地区政治、叙利亚/伊拉克走廊以及北约毗邻的交通方面具有高价值。
• Negotiation leverage:谈判筹码:获取电信公司邮件流量可深入了解合法截取请求、漫游协议以及向运营商提供政府指导。
• 访问经纪: 电信业务的立足点有助于转向下游企业客户。
  • Why this entity matters:实体的重要性:国家运营商集中了VIP通信、漫游元数据以及跨境对视可见性,从而实现丰富的SIGINT和目标开发。
  • 信心:高(KPI 对齐 + 交换/持久性)。

沙特阿拉伯:诺尔通讯公司有限公司(212.12.178.178)

Observed activity:观察到的活动:网络钓鱼基础设施映射至凭证窃取、邮箱规则创建以及RTM标记(“高”“价值”)。
可能的意图:

• Energy/diplomatic visibility:能源/外交可见度:关注沙特政策和能源领域的信号;预计在欧佩克+、也门以及美国关系中的谈判立场。
• Target discovery:目标发现:为二阶开发而设立子公司并托管客户资产。
• 叙事运营支持: 电子邮件洞察可以实现选择性泄露、基于时间的影响或强制性消息传递。
  • Why this entity matters:该机构的重要性所在:沙特的航空公司和服务提供商是海湾合作委员会(GCC)通信的核心。
  • Confidence:信心:中高(活动记录 + 钓鱼/HERV 交接)。

科威特:快速通信有限公司(83.96.77.227)

Observed activity:观察活动:交换账户入侵尝试、开发后工具验证、凭据收集。
可能的意图:

• GCC situational awareness:GCC态势感知:跟踪政策对接、国防采购以及油气物流。
• 区域支点: 利用科威特的访问权限,识别共享供应商以及管理服务的分支机构,进入邻近的部委和国有企业。
  • Why this entity matters:实体的重要性:小型国家电信/托管服务提供商可能正进军各部委和国家石油实体领域。
  • 自信度:中等(竞选参考文献 + 共享的 TTP)。

韩国:IRT-KRNIC-KR(1.235.22.140)

Observed activity:观察到的活动:邮箱目标、GAL 导出尝试以及经过 KPI 跟踪的后续操作。
可能的意图:

• Tech and defense intelligence:科技与国防情报:寻求对研发、出口管制和国防供应链的双向可见性。
• 危机剥削: 在半岛或制裁危机期间保持潜在的杠杆获取途径;获取身份数据以供日后冒充。
  • Why this entity matters:该实体的重要性:KR 提供高价值的技术情报和联盟视角;访问注册表和服务运营商可解锁广泛的枚举。
  • 置信度:中等(实体类 + 交换工作流对齐)。

蒂尔基耶/乔丹竞选重叠:“乔丹竞选(کمپین جردن)”

Observed activity:观察到的活动:在野外操作中使用Team Kian的持久化脚本,协调钓鱼和累积验证,进行开发后的交换。
可能的意图:

• Government and diplomatic monitoring:政府与外交监督:追踪约旦与KSA/UAE/埃及的安全合作、难民政策以及区域协调。
• 传输节点映射: 识别非政府组织和政府机构使用的跨境数据流和托管服务提供商。
  • Confidence:信心:中高(直接提及 Team Kian 工具的竞选文档)。

新加坡RIPE举办接力赛(128.199.237.132)

Observed activity:观察到的活动:操作中继/ egress 节点,而非受害者本身。
可能的意图:

• Operational security:运营安全:交通诈骗、地理融合以及分期与伊朗知识产权空间的分离。
• 延迟与可用性: 用于执行C2或抓取任务的稳定云区域。
  • Why it matters:重要原因:表明贸易成熟度:分期、收藏和指挥基础设施的彻底分离。
  • 信心:高度(整个运营过程中基础设施的作用是一致的)。

伊朗(国内) 皮什加曼·泰贾拉特·萨亚尔网络(109.125.132.66)

Observed activity:观察活动:操作员侧用;分期、内部VPN,或开发/测试访问。
可能的意图:

• 操作员基础网络: 工作站出口、内部工具拉力或针对实时目标的质量保证。
  • Why it matters:重要原因:为时间分析以及潜在的法律/电信合作识别操作员班次提供优势。
  • Confidence:自信:“使用操作员”能力高,而非“受攻击的实体”。

工具集与操作实践

我们所追踪的演员集群所发布的内部报告、活动后验品和技术报告揭示了一个经过深思熟虑且可重复操作的工具链,用于大规模、以配额为导向的妥协行动:广泛且自动化的发现;企业邮件和VPN设备的优先利用;快速的持久性和凭证采集;隐蔽的漏水;以及对结果的官僚化衡量。这些工具融合了广泛可用的进攻性框架和定制化的实用工具,通过标准化的剧本和KPI报告来整合。该单位的定位是建立一个运营成熟、以国家为导向的网络组织:有条不紊、适应性强,侧重于可衡量的吞吐量,而非偶然性的一次性。

该演员采用一种以高收益企业目标为核心的、经过流程驱动的攻击性策略:Microsoft Exchange(ProxyShell/ProxyLogon 利用链条和自动化的ASPX/)。NET WebShell 部署程序、Ivanti/Pulse 安全及类似的 VPN 设备开发工具包,以及用于绕过已补丁 Exchange 实例的应用程序交付控制器(F5)模块。使用以自定义编排封装的 Masscan/Nmap 式扫描仪、内部“类似 shodan”的扫描平台以及轻量级 HTTP 探针,大规模进行侦察工作,这些探头可查找暴露的管理员端点、.env 文件和 RDP 指纹,以提供优先目标列表。初始访问后通常会出现快速持久(ASPX 网络壳化(包含 HTTP 信标、计划任务、PowerShell 和 WMI 横向执行)、凭据收集(EWS/Exchange 抓取脚本、钓鱼工具包中的 HTML 凭据收集工具)、通过 Mimikatz 式实用工具进行 LSASS 垃圾处理,以及包括令牌-接线/AiTM 模式和令牌重放在内的 MFA 失败技术。开发后工具是一个混合生态系统。NET 网络壳、使用 PyInstaller 封装的 Python 解析器、经过修改的 Cobalt Strike(如信标)和定制的 Windows 加载工具;去污通道包括加密的 7zip 归档程序,这些归档程序已归档到云端存储(Mega、Dropbox、ProtonDrive)、SMTP/confurred Exchange 中继、DNS 隧道以及自定义的 HTTP C2 信标,而 Telegram 机器人和 API 脚本则提供用于集中式报告的可乘地测程和 KPI 摄取功能。

在组织层面,该单元具有官僚性质,并分为专用的离散单元(用于扫描(Engineer Reza))、利用精细化和持久化工程(Team Kian)、钓鱼和凭据运算(工程师Shayan)以及数据分期/报告,从而实现高吞吐量和快速的工具迭代。其运营理念将商品攻击性框架与内部包装和定制混淆相结合,将恶意流量融入正常的企业模式,包括使用合法的云服务提供商进行分期、VPN链接以及消费者VPN以掩盖运营商的来源,以及针对目标地区进行的精心钓鱼模板。情报影响十分严重:这是一种具有韧性且具备国家任务能力的能力,专为大规模凭证采集和长期访问而优化。即时防御优先级明确:通过集中日志记录和留存来加固并监控 Exchange/EWS/OWA;对远程接入设备进行补丁和分段处理(Ivanti,F5);执行具有网络钓鱼功能的 MFA(如 FIDO2);搜索 ASPX 网络壳签名以及异常的 LSASS 转储或计划任务;以及部署用于扫描模式、令牌跟踪行为以及异常云分期传输的检测规则,以干扰对手的杀手链及其 KPI 反馈循环。

泄露的材料揭示的不仅仅是工具和目标,还暴露了官僚化的职场文化,这种文化通过僵化的模板、配额和监管来规范运营者行为。标准化的KPI表格、效率指标和监管言论将贸易转化为可衡量的产出,促使运营商优先考虑数量、更多诱惑、更快的信用收成、缩短停留时间,即使以OPSEC为代价也是如此。跨利用、凭据和钓鱼团队(例如HERV单元)的专业化可提高技术熟练程度,同时提升道德距离,将每项任务视为对集体使命的独立贡献。集中式考勤记录可确认一个共享的工作点,即同行压力、监督和管理审查可加强合规性并抑制偏差。其结果是一个社会技术系统,能够生成一致的行为特征、基于模板的钓鱼网络钓鱼、重复使用的网络壳路径以及统一的报告节奏。这使得该演员既高效又可预测,因此一旦防御者了解其指标和工作流程,便便得以利用。

恶意软件分析

上传的数据记录了一个成熟且由操作员驱动的入侵工具包,该工具包围绕两个互补的组件构建:一个以Windows为中心的远程访问特洛伊木马系列(RAT-2Ac2及相关分期),用于持久性、凭证窃取和数据收集,以及轻量级的操作客户端工具以及网络外壳,为受损系统提供交互式控制通道,用于实际操作管理。RAT的证据,包括描述用于键盘记录、浏览器凭据窃取、文件收集、加密长度预设命令通道以及C:\ProgramData\Microsoft\diagnostic\下的规范式下拉路径的开发者笔记,均存在于工程报告和分期示例中。

客户端工具简单但操作高效:多个Python客户端实现交互式REPL,通过将命令嵌入HTTP头(尤其是Accept-Language)中,将操作员命令发送到服务器端的WebShell,并附带一个由操作员客户端用作握手/指纹的静态头令牌。两个客户端使用固定替换密码在传输前混淆命令,而另一个客户端则发送原始命令;这三个硬编码不同的Webshell端点和相同的头部指纹,显示相同控制方法在多个目标之间的重复使用。

部署和执行遵循一致的行为模式。初始访问似乎依赖于网络钓鱼以及文箱中其他地方记录的 Exchange/Autodiscover 链。初始站位出现后,操作人员会上传一个网页壳(通常使用 m0s.* 模式命名),与客户端连接,并发出命令,以在内部主机上绘制出更持久的工件。这些工件被放入 ProgramData,并以合理的Windows服务名称(例如,Java/Update 样式名称或 vmware-tools.exe 文件名)伪装,然后执行以创建反向隧道或 RDP 样式的连接,返回外部 C2。文件中观察到的操作控制用户界面以编程方式构建WMIC和网络使用指令,然后由操作员调度到目标主机,从而实现快速的横向移动和动手操作。

从功能角度来看,该工具包支持全面入侵所需的完整中段生命周期:凭据收集与重用、远程执行(WMIC、SMB 管理员共享挂载)、权限持久性(服务式下垂位置)、带帧框和可选 TLS 封装的加密 C2,以及可捕获文档、按键和浏览器存储凭证的集合模块。笔记中存在碰撞日志记录和开发人员指导,表明在生产C2旋转之前,其开发生命周期处于活跃状态,并在内部测试范围内重复测试。

适合检测的操作指纹清晰且具有高价值。主机级搜索应优先从模拟系统服务的 ProgramData 路径执行异常,以及在 C:\ProgramData\Microsoft\diagnostic\ 和 svchost.bat 助手脚本下出现 vmware-tools.exe 或 JavaUpdateServices.exe 的异常执行。网络和网络服务器检测应查找“接受语言”头像中的 m0s.* 端点以及异常长或非语言的有效载荷,以及客户端代码中静态的“接受-捕获”令牌字符串,因为该令牌为操作人员流量提供了即时、精确的签名。

在进行控制和修复时,优先操作非常简单:将脚本中观察到的任何账户和凭据视为被篡改,立即进行旋转,将外向连接权用于识别的C2 IP和域名,并搜索“程序数据”的分期路径和网页UI工件(包括以良性名称伪装的服务,以及这些文体中通常在8000端口上提供的本地操作人员网络用户界面)。当主机被确认为已泄露时,请在修复前分离并捕获挥发性内存、网络服务器日志和磁盘镜像,以保存取证证据,并实现对舞台剧进行可靠的逆向工程。

对这些文物内部关联的信心从中等到高度。多个文档重复使用相同的语言风格、操作者名称、文件名和模式,仪表板和KPI表强化了以组织、指标为导向的操作方法,而开发人员的笔记和客户端脚本则揭示了技术基础以及操作人员所依赖的协议选择。综合来看,该语料库旨在实现内部不断发展的能力,将量身定制的RAT开发与简单可靠的操作员工具相结合,并建立了可进行横向移动和持久化操作的操作技巧。

HUMINT与反情报机会

泄露的材料揭示了一个官僚化的生态系统,其结构性模板、配额和监管决定了运营者的行为。标准化的KPI表格和主管标注将网络操作转化为可衡量的输出结果、已完成的任务、效率率和配额的实现,从而迫使人员以牺牲运营安全为代价,最大限度地提高工作量和速度。高度专业化的团队负责攻击链的离散阶段,从开发开发到凭证采集和HERV钓鱼,既能提升技术熟练程度,又能从行为后果中获得道德上的距离。集中出勤记录证实,现场员工队伍受同行规范和管理监督约束,加强合规性,并遏制异议。这些动态共同产生一种社会技术模式,使该单元既高效、有条不紊且易于审计,又具有可预见性,使辩护人能够预见并利用反复出现的行为和程序模式。

此次行动以人为中心,为HUMINT和反情报创造了多种实用途径:

• 利用激励循环。由于操作人员会追逐可测量的输出结果,因此注入虚假或有毒的输入(例如,诱饵GAL输入、种子联系人导致死胡同、可能享有特权但受监控的账户)能够产生可观察的后续跟进,从而暴露基础设施、时间线或人员。
• 目标行为瓶颈。手柄(GAL导出 → HERV)和交换机板(如“高,值”等值标签)是进行欺骗或监控的合理场所;单个被篡改的GAL可在采集路径上产生下游情报。
• 利用物理与数字的相关性。将徽章记录与入侵时间戳对齐,有助于识别可能的换挡、升级窗口,甚至针对运营活动的特定团队,从而实现量身定制的HUMINT或法律施压途径。
• 鼓励内幕不稳定。绩效驱动的文化会产生内在压力。注重职业风险、业绩不佳或运营道德成本的精心设计的HUMINT方法有时会引发合作或失误,尤其是在面临配额压力最严重的低级别运营者中。

防御性与运营建议(HUMINT 已知晓)

为有效防御,必须记录人类的交接,并监控人员与系统之间传播的信号:对GAL出口的警报、异常的邮箱访问模式以及KPI工作流程元数据(文件名、模板和报告邮票)。同时,运用高保真欺骗,获取合理的联系人、文档和邮箱内容,旨在让对手在行动诱饵时揭示工具、提取路径或C2。在合法提供HUMINT或合作伙伴合作的情况下,可将徽章输入/退出日志与入侵时间戳关联,以映射轮班和可能的操作窗口,并使用经过仔细定时通知、管理误报和受控暴露,以在其指标驱动的流程中引入可测量的摩擦,从而在不冒敏感数据风险的情况下减缓其节奏。防御者应优先使用可重复操作的软件、基于模板的钓鱼HTML、重复使用的网络壳路径、脚本标题以及标准化的PowerShell图标,并将这些技术指标与合法的HUMINT和法律流程相结合,以定位维持集中运营的社交和供应链节点。

• 仪器人工操作:监控并提醒GAL导出、异常邮箱访问模式以及KPI工作流程中使用的特定元数据(文件名、报告模板)。
• 部署高保真欺骗:种子般的真实联系人、文档和邮箱内容,这些内容会导致对手在行动诱饵时会泄露工具、提取路径或C2终端。
• 将物理日志与网络事件关联:在可能进行合法HUMINT或合作伙伴合作的环境中,将徽章的进入/退出与入侵时间相关联,以识别活动窗口以及可能的操作员换挡。
• 压力测试其激励结构:利用通知时间、误报和管理暴露,在对手的度量驱动过程中产生可感知的摩擦——足以在不暴露受保护数据的情况下减缓其节奏。
• 优先检测可重复操作的工件:基于模板的标记(即网络钓鱼HTML结构、Webshell路径、脚本标题和标准化的PowerShell 成像),而非新型恶意软件签名,以识别对焦防御者的检测工程。
• 追求合法的HUMINT及法律渠道:在政策允许的情况下,结合人工源收集、法律程序和网络威胁情报,以针对维持集中运营的社交节点(承包商、设施、供应链)。

恶意软件、植入物和工具

收集的文物展示了一套专注的工具套件和清晰的操作工艺。面向交换工作的核心是一个ProxyShell/Exchange漏洞利用链:用于武器化的PowerShell脚本和自动化程序,旨在提取全局地址列表和完整邮箱内容。内存级窃取和拆解工具,特别是使用Mimikatz式工作流处理的LSASS,提供明文凭证和NTLM哈希值,可立即重新利用,实现横向移动和持久访问。

社会工程和凭证盗窃由一个成熟的HERV工具包处理,该工具包包括可配置的HTML凭证采集工具、OAuth代币窃取和中继机制,以及将采集身份转换为可重复使用会话令牌的活动管道。成功的站位通常由轻量级的 ASP.NET 网络壳支持,这些网络漏洞被置于可预测的路径(aspnet_client/、owa/auth/、excuter/temp/)下,以提供持久性和远程命令的执行。

运营商还采用定制舞台和极简的PowerShell和。网络加载器伪装成良性管理员脚本,可植入记忆植入物并逃避检测。对于专业目标,定制的Ivanti包装和一次性利用脚本可将设备CVE转换为可靠的RCE,从而证明将漏洞研究转化为定向操作代码的能力。这些组件共同构成了一套紧凑且可互操作的工具集,针对Exchange的折衷、凭据捕获、持续存在以及快速武器化进行了优化。

妥协指标

该数据集包含高价值域、内部主机和网络指标的混合,这些指标共同绘制了该组的目标设定和侦察技术。关注的域名包括政府和企业邮箱,如 mfa.gov.ct.tr、alrabie.com、Cusels.gov.lb 和 cnthoth.com,以及 mail.yousific.com.kw 和 webmail.kcec.com.kw 等商业网络邮箱网站。该馆藏还记录了多个伊朗内部邮件托管机构,并拥有运营商标注的网络空壳路径,将特定主机与成功的后期开发活动联系起来。

网络层面的证据强化了这一模式——与扫描和探测活动相关的样本源IP包括:

• 128.199.237.132 RIPE
• 212.175.168.58 土耳其电信
• 212.11.178.178 努尔通信公司沙特阿拉伯有限公司
• 1.235.222.140 IRT,韩国克朗
• 109.125.136.66 皮什加曼·泰贾拉特·萨亚尔·萨伊尔 伊朗网络
• 83.96.77.227 快速通信有限公司

HTTP日志显示了自动侦察和机会性凭证采集的混合信息,其中包括Cookie:mstshash= 显示RDP式探针的有效载荷,尝试获取 .env 和 SendGrid 的配置文件,以及 WordPress 的枚举点击,例如 /?作者= 和 /wp, json/wp/v2/users。爬行活动有时可以通过诸如Pandalytics/2.0等用户代理字符串来识别,而Pandalytics正是用于域发现和优先级排序的。这些域名、主机和HTTP指标共同规划了针对邮件基础设施、凭据收集以及快速进行后妥协扩展的连贯侦察到开发管道。

贸易发展与时间表

本节记录了该演员在转储中的操作演变:2022年春夏以交流为中心、以人类为核心的收集工作,逐步扩展为一项多向量导数情报计划,直至2023年至2025年。早期活动主要集中在高价值邮箱访问以及利用HUMINT、ProxyShell/EWS、GAL泄密以及用于HERV钓鱼周期的动手信箱监控。随着时间的推移,该组织自动进行发现和凭证采集,将利用的玩具簿(包括Ivanti家电包装)进行编码,并将这些功能集成到由KPI驱动的钓鱼和持久化工作流程中。简而言之,该活动从一款手术刀转向了一款利用定向Exchange入侵工具的说明书,转而采用混合式手术刀和网络模式,该模型在保留原始HUMINT终局性的同时,还增加了大规模扫描、设备RCE和可重复使用的凭证基础设施。

时间轴(关键里程碑及配套文物)

• 2022年4月——初始领域妥协证据
  LSASS/Mimikatz 捕获(mfa.tr.txt,2022年4月)在内存级凭证窃取和域名泄露方面表现出早期成功。这些工件展示了纯文本管理员/服务密码和NTLM哈希值,可立即进行凭据回放和横向移动。
• 2022年5月至7月(泄露系列中的1403年)——以交易所为中心的竞选浪潮
  MJD活动报告和HSN每日KPI表格(1403年5月至7月)记录了一个集中的交换利用浪潮:ProxyShell 和 EWS 链被用来验证 shell、导出全局地址列表(GAL)以及拉取邮箱内容。这些GAL出口随后为HERV网络钓鱼活动和长期邮箱监控提供了HUMINT采集功能。
• 2022年末——2023年运营整合与自动化
  课程的后期内化在模板化的KPI报告和游戏手册中可见:用于GAL导出的武器化PowerShell脚本、标准化的WebShell放置路径以及自动令牌回放机制。操作人员转向可重复操作;相同的攻击序列在不同目标集合中出现,而诱饵内容仅存在细微差异。
• 2023年—2025年1月 全面侦察与机会主义采集
  2023年12月至2025年1月的访问日志显示大规模互联网扫描、RDP风格<Cookie:msshash= prots>、.env和SendGrid的配置获取尝试,以及WordPress的读数(</?作者=/wp、JSON/wp/v2/users>。这一时期标志着向广泛的净发现和机会性凭证/配置采集的扩展,以补充有针对性的开发。
• 2023–2025(混合版)伊万蒂及家电开发
  伊万蒂技术评审(内部“سند بررسی ”……)及后续的伊万蒂包装材料证据表明,该组将设备CVE转换为一次性的RCE脚本。这些功能提升拓展了Exchange以外的攻击范围,使得可以访问VPN和网络设备,从而覆盖额外的邮件场所或特权管理接口。
• 持续的闭环钓鱼和HUMINT维护
  在整个时间线中,HERV 工具包、RTM 报告(邮箱停留时间、“高,值”标记)以及出勤记录显示了持续运行的目标:将访问权限转化为持续的收集。收获的GAL和邮箱内容通过活动KPI进行筛选,为新的诱饵提供素材,形成补充剥削的循环→收获→钓鱼→监控。

对防守者的影响

• 注意混合指标:交易所滥用指标(ProxyShell,可疑的GAL导出活动)与大规模扫描签名(RDP、样式Cookie、.env探针)通常表示相同的操作周期。
• 优先检测凭证盗窃和令牌滥用(LSASS 垃圾箱试图渗漏、异常的 OAuth 同意流),并提供 GAL 出口监控和警报工具。
• 将家电CVE咨询视为与电子邮件遗产安全相关的操作性——设备RCE正被用于转向邮件基础设施。

关闭叙述

APT35漏洞暴露了一个官僚化的网络情报机构,该机构是伊朗国家的机构,拥有明确的层级架构、工作流程和绩效指标。文件揭示了一个自给自足的生态系统,即文员记录日常活动、量化钓鱼成功率以及跟踪侦察时间。与此同时,技术人员在将漏洞应用于当前漏洞之前,会进行测试和武器化,尤其是在 Microsoft Exchange 和 Ivanti Connect Secure 中,然后将其转交给运营团队进行协调使用。主管将结果汇总为包含成功比率和推荐的分析摘要,并将其转发到链上以供审核。这种程序严谨性表明,APT35 的功能不像犯罪组织,而更像是执行特定情报任务的政府机构。

从战略上看,这些材料证实,APT35的行动符合德黑兰更广泛的安全目标:保持地区对手的意识,在地缘政治谈判中发挥影响力,以及监控国内异议。以交流为中心的目标凸显了将电子邮件生态系统作为情报来源和控制枢纽的刻意关注,而伊万蒂和普罗克西谢尔的迅速行动则体现了一种基于速度、坚持和长期访问的可操作性学说。此次泄漏将分析性怀疑转化为国家主导企业的证据,即在军事监督下整合SIGINT、心理操作和技术侦察的集中化系统。这些文件共同标志着理解伊朗网络设备的转折点:一个将数字战场制度化的专业化情报机构,并消除了间谍与战争之间的界限。

 

附录A:泄露文件列表

包含、引用或用于评估与APT53/迷人小猫相关人员(مهندس مهندس رضا مهندس رضا م, مهندس رضا م)的每一份文件的综合列表。رحمانی, سید محمد حسینی 等

每个条目都包含文件名(按上传方式排列)以及在其中确认或推断的人员或实体参考信息。

包含人员参考的文件

1。MMD-1403-01-27.pdf

提及/上下文:

• 为网络部门汇总月度绩效总算。
• 包含操作符指标和标识符的表。
• 个人:م(工程师 مهندس رضا )、 مهندس کیان (Engineer Kian)(M. رحمانی拉赫马尼 سید محمد حسینی ,(赛义德·穆罕默德·侯赛尼)。
  Relevance:相关性:将主管与操作员单元连接的基线管理报告。

2。(بهمنن مبهمنن ماههنن کوروش )pdf

(月度绩效报告——巴赫曼月,库罗什)
提及/上下文:

• 与基安报告平行的结构;表明多个团队的领先优势(工程师库罗什)。
• Team KianTeam Shayan将基安团队和沙扬团队视为比较表现者。
• 个人: مهندس کیان مهندس کوروش
  Relevance:相关性:在统一的公制系统下确认存在多个并行技术团队。

3. 4d6bf3834e9afb8e3c3861bf2ad64ad68d870_گزارش عملکرد ماهانه (2.pdf)

提及/上下文:

• 重复或修订巴曼月度报告。
• 提到 تیم کیان (基安队) تیم شایان (沙扬队) اپراتور ۰اپراتور ۰۷۴ 。
  Relevance:相关性:显示与Kian单元格关联的操作员编号约定(04,07)的关键联动文件。

4.(بهمنن) گزارش عملکرد ماهانه PDF

(月度绩效报告—巴曼月,沙扬)
提及/上下文:

• 另一项操作单元摘要。
• 个人:مهندس شایان, مهندس کیان (用于比较KPI)。
  Relevance:相关性:确认多个同行团队;提供比较成功率。

5。_(بهمن ماهه_REDACT.pdf)

提及/上下文:

• 已修改的绩效文件,部分匿名化。
• 可见指标字段引用 اپراتور ها 和 رحمانی 。
• 个人:مرحمانی, مهندس رضا
  Relevance:相关性:提供拉赫马尼中央KPI整合功能的证据。

6. 544bf4f9e5fdb4d35987b4c25f537213ce3c926a_گزرش عملکرد ماهانه ( بهمن ماهانه REDACTED.pdf)

提及/上下文:

• 巴曼月语录的另一个变体。
• 个人: سید محمد حسینی (审稿人), مهندس رضا مرحمانی
  Relevance:相关性:加强等级监督和文书结构。

7.

2d5b8da00719e6f8212497d7e34d5f1fa6776_All_target_report_20220508.pdf

提及/上下文:

• Exchange和Ivanti剥削的英文操作摘要。
• 个人(与波斯语报告截面):M卡泽米,,操作员 04,操作员 07。
  Relevance:相关性:连接技术操作员,并利用工程师与国外目标战役进行交互。

8. 4d6bf3834e9afb8e3c3861bf2ad64ad86ad870_گزارش عملکرد ماهانه (بهمن ماه_.pdf)

提及/上下文:

• Team Kian与其他巴曼月份报告几乎相同;确认基安团队的等级制度。
• 在质量控制背景下提及 تیم شهید (沙希德团队)。
  Relevance:相关性:建立Kian技术部门与审计/培训部门之间的联系。

9.(بهمنن مبهمن ماهمن ماههنن ماه امیرحسین pdf)

(月度绩效报告——巴曼月,阿米尔·侯赛因)
提及/上下文:

• 专注于 مهندس امیرحسین (工程师阿米尔·侯赛因)。
• 参考团队 مهندس رضا 和比较任务指标。
  Relevance:相关性:新增另一个操作单元;确认标准化报告和KPI结构。

10.گزارش اقدامات کمپین جردن pdf

(《约旦竞选报告》)
提及/上下文:

• 针对区域实体(约旦、沙特阿拉伯、科威特)的具体行动行动摘要
• 外部利用过程中使用的参考 تیم کیان 工具(基安团队)。
• 个人: مهندس کیان عموسوی (A。穆萨维),س。(S. قاسمی加塞米。
  Relevance:相关性:演示在实时操作中部署 Team Kian 的持久化脚本。

11.伊万蒂. سند بررسی تلاش برای بسترسی بسترسی بسترسی بسترسی باسسی بسترسی بسترده از آسیب پذیری pdf

(投资开发分析文件)
提及/上下文:

• 描述Ivanti Connect安全CVE武器化的技术文件。
• 个人:م(M. کاظمی卡泽米 مهندس کیان 。
  Relevance:相关性:验证卡泽米在利用测试中的作用以及基安对所得有效载荷的整合。

12. 钓鱼 herv.pdf

提及/上下文:

• 描述 GAL→HERV 工作流程和凭证收集自动化。
• 个人:ع。موسوی (A。穆萨维),س。(S. قاسمی加塞米。
  Relevance:相关性:地图钓鱼基础设施和数据传输管道,以实现Kian的凭证集成。

13.گزارش نفوذ به ایمیل pdf

(电子邮件入侵报告)
提及/上下文:

• 描述已泄露的 Exchange 账户和运营反馈循环。
• 提到 اپراتور ۰۴ اپراتور ۰۷ تیم کیان。
  Relevance:相关性:将Kian的操作员与活体入侵联系起来的直接证据。

交叉参考摘要

文件	提到的关键人物	函数/上下文
MMD-1403-01-27.pdf	雷扎、基安、拉赫马尼、侯赛尼	核心管理员摘要
(بهمنن مبهمنن ماههنن کوروش )pdf	基安、库罗什、拉赫马尼	同行指标
(بهمنن) گزارش عملکرد ماهانه PDF	基安,沙扬	并行团队
(بهمنن مبهمن ماهمن ماههنن ماه امیرحسین pdf)	基安、礼萨、阿米尔·侯赛因	比较KPI
_(بهمنن ماهه_REDACTED)。pdf	拉赫马尼,雷扎	指标聚合
544bf4f9e5fdb4d35987b4c25f537213ce3c926a_گزارش عملکرد ماهانه.pdf	侯赛尼、礼萨、拉赫马尼	监督文件
4d6bf3834e9afb8e3c3861bf2ad64a68d870_گزارش عملکرد ماهانه.pdf	基安,沙希德队	质量控制与审计链接
all_target_report_20220508.pdf	卡泽米、穆萨维、加塞米、操作员 07年4月	外部活动映射
گزارش اقدامات کمپین جردن pdf	基安、穆萨维、加塞米	现场部署
伊万蒂 سند بررسی و تلاش برای برای دسترسی ·弗德	基安,卡泽米	漏洞测试
钓鱼 herv.pdf	穆萨维,加塞米	钓鱼交接链
گزارش نفوذ به ایمیل pdf	操作员04,操作员07,团队起亚	入侵跟进

附录B:IRG运营商的分析归因

指挥与协调层

手柄/名称	文档中观察到的角色	可能的关联
赛义德·穆罕默德·侯赛尼(سید محمد حسینی)	在多份 بهمن ماه 绩效报告中作为注册授权和审核员出现。他的名字位于技术引线之上,旁边则指“赞成”或“命令的摘要”。	拟符合IRGC 13号网络单元或IRGC(IO-IRGC)情报组织内部监事部门中一名中级警官的特征。
M.拉赫马尼(م。رحمانی	收集并规范团队指标,生成KPI仪表板,并转发给Hosseini。没有与他相关的利用或竞选编程语言。	行政/绩效办公室,隶属于IRGC 13号网络单元,负责配额控制和报告合规。

2。技术主导——工程细胞

手柄/名称	文件证据	功能组推断
工程师雷扎(مهندس رضا)	在多个巴曼月报告和经过编辑的摘要中,以“负责网络维护、正常运行时间和内部测试”的形式出现。	Infrastructure Engineering CellTechnical Support and Operations Section基础设施工程单元——可能位于负责维护内部VPN和分期服务器的技术支持与运营部门内。
工程师基安(مهندس کیان)	“基安团队”负责人。专注于 Exchange 和 Ivanti,利用精益求精、持久化脚本以及 HERV-RTM 切换模块。	利用研发与坚持互助小组,隶属于第13单元技术局的进攻性研发部门。
工程师库罗什(مهندس کوروش ),工程师沙扬(مهندس شایان ),	同僚团队在其他巴曼报告中处于领先地位。KPI结构与Kian的结构相映成趣,意味着任务集相同。	同一个APT53/Charming Kitten工程部门——独立操作团队共享利用模板。

3。现场操作员/开发层级

手柄/名称	角色指标	可能集团
操作员 04(اپراتور ۰۴)	出现在 Exchange 和电子邮件入侵日志中,通常以顺序形式出现——建议初始利用。	工程师基安的初始访问团队。
操作员07(اپراتور ۰۷)	在04事件后的持续跟进中可见;可能专注于横向移动和特权升级。	开发后团队,同一个单元格。
马吉德·S(مجید س)	提到排量和扫描任务。	侦察与目标发现科,即瑞萨公司下属的基础设施。
阿里-雷扎·卡里米(علیرضا کریمی)	负责路由、内部VPN配置和网络稳定性。	在Reza的监督下,设有网络运营与支持部门。

4.专业技术人员

手柄/名称	证据	可能集团
M.卡泽米(مکاظمی	在Ivanti漏洞文件中,引用其作为验证测试。	Exploit Validation Lab漏洞验证实验室——与基安的研发重叠,但可能会向IRGC电子战组织内的研发部门报告。
A。穆萨维(ع。موسوی	注册钓鱼域名及受控邮件基础设施,网址为钓鱼 HERV.pdf。	社会工程与基础设施团队,支持开发分支机构。
S。加塞米(س。قاسمی	构建了与穆萨维基础设施相关的凭证采集和泄露脚本。	数据收集与过滤团队,隶属于穆萨维下游。

5。培训与监督

手柄/名称	角色	可能集团
沙希德团队(تیم شهید)	多份Bahman报告中注明为“آموزش/”(培训/审计)。	质量控制与培训科,类似于第13单元下的内部红队或课程单元。
伊玛目·侯赛因大学	人员简介中反复列出教育出身。	IRGC网络力量招募管道。
帕尔达泽·萨泽公司(شرکت پردازش سازه	以外部掩护/承包商的身份出现。	Front Company前线公司用于采购和可能的薪资保护。

功能星座

IRGC 13号网络单元(命令)

│

├── 协调与指标

─├─ 赛义德·穆罕默德·侯赛尼

─┄┘ ┄ ─ ─ ─ �拉赫马尼

│

├── 技术基础设施分支

│ ├─ 工程师 Reza → 马吉德·S.,阿里-雷扎·卡里米

┄─ 前排公司:帕尔达泽·萨泽公司

│

├── 光顾研发分店

── 工程师 基安(基安团队)

│ │ ├─ 操作员 04

│ │ ├─ 操作员 07

│ ├─ ─ ─ ─ ─ ─ ─ 卡泽米

│ ─ ─ A。穆萨维 ↔ S.加塞米

│ ─ 沙希德团队(审计/培训)

─┘─ 同行团队:库罗什、沙扬、阿米尔·侯赛因

─ 工具链:HERV ↔ RTM 模块

│

└─ 招聘/培训

─ 伊玛目·侯赛因大学

合成

• 语料库显示一个 矩阵化命令典型的 IRGC 13型 / APT53 生态系统:
  • Top Layer顶层:战略监督与绩效审计。
  • Middle Layer中层:工程负责人管理半自主操作单元。
  • Bottom Layer底层:技术人员处理漏洞部署、凭证窃取和基础设施维护。
• 反复提及教育和承保公司的信息,是指国家与雇员关系,而非独立承包商。
• 每个由工程师命名的团队(Kian、Reza、Kourosh、Shayan、Amir Hossein)都会组成一条生产线,将其融入共享工具包(Exchange、Ivanti、HERV 模块)中。

分析信心

源类型	自信	笔记
波斯月度报告	高	直接内部指标为每位工程师/团队命名。
伊万蒂与钓鱼文档	高	明确的技术作者专线。
英文竞选摘要	中等	通过运算符数进行上下文关联。
推断层次结构(IRGC 第13单元)	中等–高	匹配开源的IRGC网络命令模式(13号单元 ↔ APT35/53等价物)。

附录C:恶意软件分析与国际奥委会技术科

摘要

该语料库包含同一操作者生态系统所使用的两个互补工具:(A)用于内置的Windows RAT系列(RAT-2Ac2/starders),用于持久性、凭据窃取、文件收集以及加密的C2;以及(B)轻量级的客户端工具/WebShell控制器,用于通过WebShell端点交互式管理已入侵的主机。RAT 部署在 C:\ProgramData\… 中,使用类似 RDP 的反向隧道到外部 C2(例如 103.57.25.153),而客户端工具则使用不寻常的 HTTP 头通道(接受-语言)和 Accept-Captcha 静态令牌来传输命令。

类别	姓名/参考	描述与背景	源文档
自定义远程访问工具(RAT)	PowerShort / PowerShort Loader()	在脚本和任务日志中可以看到内部快捷方式,指的是一种基于PowerShell的植入物,用于横向运动和凭据外露。函数作为轻量级运算,包含命令执行和文件收集功能。	出现在(بهمننذ گزارش عملکرد ماهانه ذааа ذааа شایان )和伊万蒂剥削报告中。
凭证-哈维斯特	HERV 网络钓鱼套装	用于针对政府和电信行业的协调资格宣传活动。与钓鱼文件钓鱼对称。	钓鱼网站:herv.pdf,月度绩效报告。
交换利用工具包	代理壳 / 自动发现/ EWS 链条	用于利用 Exchange 漏洞的自定义自动化(CVE-2021-34473/34523/31207)。后续模块收集 GAL 和邮件数据。	All_target_report_20220508.pdf,Exchange GAL 会转储引用。
持久性/特权升级	伊万蒂开发模块	被描述为针对Ivanti Connect安全设备的本地特权升级矢量;包括用于内部RAT的有效载荷装载机。	伊万蒂. سند بررسی تلاش برای بسترسی بسترسی بسترسی بسترسی باسسی بسترسی بسترده از آسیب پذیری pdf
信息跟踪附加组件	基萨维(کلیدسیو)	在 Farsi 性能日志中提及;内置了 PowerPoint 功能插件。提取浏览器和RDP凭据缓存。	(بهمن ماهمن ماهه امیرحسین)
横向移动工具	远程Task.exe / TaskClient.ps1	用于通过内部消息总线执行队列命令的可执行/ Powershell 对;相当于内部作业运行器。	MMD-1403-01-27.pdf
通信层	输出信使 / 3CX / Issabelle	并非恶意软件本身,而是用于C2任务、状态报告和协调的可操作聊天系统。	Monthly performance reports月度绩效报告、攻击摘要

已观察到的样本/文物(证据列表)

• RAT 工程笔记和分期示例(RAT-2Ac2):用于引用 C:\ProgramData\Microsoft\diagnostic\vmware-tools.exe 和 C2 103.57.25.1153:443 的回转命令行
• Operator client scripts运算符客户端脚本:三个实现交互式Webshell控制器的Python客户端:connect.py(编码命令)、rce5.py(编码)和RCE4.py(原始命令)。包括三个硬编码的 WebShell 端点和一个静态头令牌。
• 操作员网络控制 / IIS 面板:用于构建 WMIC / 阶段性命令并提供 Execute/Upload 表单(操作员管理用户界面)的脚本,以及在 port 8000 上指示本地操作员 Web UI 的日志,以及 Masquerade 服务名称 Java Update Services。

能力矩阵(恶意软件的作用)

• Initial access / account capture:初始访问/账户捕获:网络钓鱼/信用收集诱饵及此前观察到的已观察到的 Exchange 开发已启用的凭据访问;RAT 包含浏览器凭证窃取模块。
• Command & Control:命令与控制:使用自定义加密通道,使用“参数”(REST 端口 8080)进行帧处理,并使用 d台式机可文件将反向/ RDP隧道传输至外部 C2(103.57.25.153)。客户端工具使用 HTTP(S) GET,其命令编码为 Accept-Language 头和 Accept-Captcha 头令牌。
• Execution & Persistence:执行与持久性:下放器安装到 ProgramData,生成类似服务的进程和帮助脚本(例如 svchost.bat、JavaUpdateServices.exe),并在启动后移除安装程序。
• Lateral movement:横向移动:使用网络使用 \\<ip>\C$, WMIC 远程进程创建(wmic /NODE:)来远程执行 cmd.exe /c。
• Collection / exfiltration:收藏/泄漏:文件集(文档、附件)、键盘记录器、剪贴板监视器以及浏览器窃取器模块,请在开发人员备注中注明。

代码/协议指纹(可用于检测)

• Stager path & filenames阶段性路径与文件名:C:\ProgramData\Microsoft\diagnostic\vmware-tools.exe,C:\ProgramData\Microsoft\diagnostic\svchost.bat,C:\ProgramData\Microsoft\Diagnostic\JavaUpdateServices.exe,JavaUpdateServices.ps.1。
• Client header fingerprint:客户端头指纹:Accept-Captcha:2EASs2m9fqoFsq4E0Ho3a3K1yHl3ZtWs5Td1Qx63QWSZJJ9mV9 (Python 客户端中存在的静态令牌)以及使用 Accept-Language 作为命令载体。
• Webshell filename pattern:网页表壳文件名模式:m0s.*(m0s.php、m0s.aspx、m0s.phto)用于多个目标。
• Client User-Agent:客户端用户代理:Mozilla/5.0(X11;Linux x86_64)AppleWebKit/537.36… Chrome/120.0.0.0 Safari/537.36 用于操作客户端。

典型攻击流(行为时间表)

1. Recon & phishing / Exchange exploitation重新计算与钓鱼/交换利用以获取凭证(文档化活动KPI)。
2. Initial webshell deployment初始Webshell部署到面向公有的主机(webshell 文件名 m0s)。*)
3. 使用 Python 客户端的运算符连接,该客户端在 Accept-Language 头向 Webshell 端点(交互式 REPL) 发送模糊或原始命令。
4. Stager deployment将Stager部署在带有伪装名称和服务注册的ProgramData内部主机中;反向隧道已建立到外部C2(例如,103.57.251.153)。
5. Lateral movement使用WMIC/SMB(净使用)来扩展访问;通过RAT模块进行数据收集。

MITRE ATT&CK 地图(高级)

• T1190:利用面向公众的应用程序(在语料库中使用 Exchange/Autodiscover/EWS)。
• 电话1566:钓鱼。
• T1071.001 / T1071.004:C2 在 HTTP(S) 上使用,并将 Web 协议用作命令通道(Accept-Language 载波)。
• T1021.004 / T1021.001:远程服务(WMIC,RDP隧道)。
• T1027 / T1564:混淆文件/信息(客户端中的替换编码,在 ProgramData 中隐藏)。

检测指导(高置信度检测)

网络检测

• 对已知 C2 103.57.25.1153 和 212.175.168.58 的出站连接发出警报。
• IDS/代理规则:在Accept-Language头长 > 基线(例如,>100 字符)或包含非语言令牌/类似命令字符的 HTTP(S) 语句请求。还可以检测静态的Accept-Captcha令牌的存在。

主机检测

• EDR / 终端搜索从以下方式执行的文件
  C:\ProgramData\Microsoft\diagnostic\vmware-tools.exe 和 C:\ProgramData\Microsoft\Diagnostic\JavaUpdateServices.exe 或 JavaUpdateServices.ps.1。
• 进程创建事件(Windows Event 4688),其中 cmd.exe 以净使用 \\ 或 wmic /NODE: 命令行生成。

网络服务器检测

• IIS / 网页日志:搜索 GET/POST 到 */m0s.* 路径以及不寻常的头部模式(使用长条码/编码字符串的 Accept-Language)。

推荐使用 YARA / 签名示例(用于防御性使用)

defensive以下是防御性检测签名(在终端/文件仓库中搜索这些字符串或模式)。not这些是无害的、仅由检测来制定的规则——它们不启用任何恶意软件。

YARA式示例(概念——适应您的YARA环境)

规则 RAT_2Ac2_stader_path {

元:

描述 = “识别已知 RAT-2Ac2 阶段路径的引用”

来源 = “会话上传”

字符串:

$s1 = “C:\\ProgramData\\Microsoft\diagnogstic\\vmware-tools.exe”

$2 = “C:\\ProgramData\\Microsoft\diagnogstic\\svchost.bat”

条件:

($*)

}

运营商-客户端头令牌(IDS/snort 方法——概念版)的签名:

• 匹配包含 2EASs2m9fqoFsq4E0Ho3a3K1yHh5Fl3Zt 的 HTTP 头 Accept-Captcha(原始脚本中的完整令牌)。

法证与围捕手册(简明扼要)

1. Immediate即时:将外向流量阻止到列出的C2 IP和域;旋转脚本中观察到的所有凭据。
2. Hunt & isolate狩猎与隔离:寻找编程数据的编程数据,以寻找近期的 wmic/net 使用活动;隔离已确认的主机,并捕获内存和全磁盘镜像。
3. Preserve logs保存日志:收集 IIS/网络服务器日志(请求 m0s.*)、代理日志(接受语言有效载荷)以及用于可疑IP的防火墙日志。
4. Malware analysis恶意软件分析:分析断开实验室中任何已恢复的vmware-tools.exe/JavaUpdateServices.exe,提取网络协议指纹,并生成YARA和Suricata签名以供部署。

自信与出处

• Confidence in linkage:对联动的信心:中等至高。支持对同一参与者集群的归比:重复的波斯语文工件、一致的项目/操作者名称(Reza/Kian),文件名和路径的重复使用,以及在多个客户端脚本和操作转储中重用Webshell文件名模式和头载技术。

原文链接：https://dti.domaintools.com/threat-intelligence-report-apt35-internal-leak-of-hacking-campaigns-against-lebanon-kuwait-turkey-saudi-arabia-korea-and-domestic-iranian-targets/

https://gbhackers.com/apt35/

https://github.com/KittenBusters/CharmingKitten