Як повідомила Google, група іранських хакерів, яка намагалася вторгатися в торішню кампанію президентських виборів у США, продовжує проводити широкомасштабні атаки, постійно змінюючи тактики, щоб обманом змусити жертв переходити за шкідливими посиланнями.
Ця група хакерів відома під різними назвами: APT35, Phosphorous, Charming Kitten и Ajax Security. Протягом декількох років, стверджує Google, вона «захоплювала облікові записи, розгортала шкідливе ПЗ, а також застосовувала передові техніки для ведення шпигунства в інтересах іранського уряду». Цілями APT35 є облікові записи державних відомств, журналістів, некомерційних організацій, відомств у зовнішній політиці і національній безпеці - всіх, хто відіграє якусь роль у формуванні думок міжнародного співтовариства щодо Ірану.
Один з прийомів, які група використовує з 2017 року, - це злом веб-сайтів, завдяки якому жертв стає простіше переконати переходити за фішинговими посиланнями. На початку 2021 року APT35 надсилала повідомлення електронною поштою з посиланнями на підроблений веб-сайт, де користувачам пропонувалося активувати запрошення на веб-семінар, увійшовши в систему, і це була спроба зібрати облікові дані від акаунтів Gmail і Yahoo!. У липні 2021 року, прикриваючись авторитетом лондонської Школи сходознавства! (SOAS), хакери зареєстрували кілька облікових записів Gmail і створили підроблений сайт, видаючи себе за вчених, щоб збирати дані від людей, які були їх цілями. Фіктивний ресурс при цьому був пов'язаний не з самим навчальним закладом, а з його підрозділами - радіостанцією і виробничою компанією.
Торік APT35 спробувала завантажити шпигунський додаток у Google Play Store, замаскувавши його під VPN-клієнт. Насправді додаток збирав конфіденційну інформацію: журнали викликів, текстові повідомлення та дані про місце розташування пристрою. Google виявила його і встигла видалити ще до того, як люди почали його встановлювати. У липні 2021 року група стала націлюватися і на інші платформи. Хакери також видавали себе за організаторів конференцій Munich Security і Think-20 Italy - спочатку вони відправляли потенційним жертвам нешкідливі листи, потім вступали з ними в листування, під час якого надсилали фішингові посилання.
Шейн Хантлі (Shane Huntley), директор підрозділу Google з питань кібербезпеки Threat Analysis Group, заявив, що, незважаючи на широкі масштаби атак, ймовірність успіху APT35 знижується в міру того, як Google більше дізнається про цю кампанію.
