צוותי המחקר של UNIT 42 מפאלו אלטו נטוורקס מפרסמים היום דוח חדש החושף קמפיין ריגול מתמשך של קבוצת APT בשם Screening Serpens (המוכרת גם כ-UNC1549, Smoke Sandstorm, Iranian Dream Job), המקושרת לאיראן.
לדבריהם, הקבוצה תקפה גופים בארה״ב, ישראל ואיחוד האמירויות, וככל הנראה גם שני יעדים נוספים במזרח התיכון. המחקר מתמקד בהתפתחות מתקפות הסייבר שבוצעו בין אמצע פברואר לאפריל 2026. עיתוי הקמפיינים תואם באופן הדוק להסלמה האזורית שהחלה במזרח התיכון ב־28 בפברואר 2026 ולמבצע "שאגת הארי". במהלך החקירה זוהו שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק ,(RAT) שפותחו והופעלו בין פברואר לאפריל 2026.
שש גרסאות הסוס הטרויאני החדשות שאותרו סווגו לשתי משפחות נוזקה חדשות, שהופעלו במסגרת קמפייני ריגול מקבילים. על בסיס עיתוי ההפעלה, הניתוח שלנו מצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות.
ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה עושה שימוש בטכניקה בשם AppDomainManager hijacking - בשיטה המנצלת את שלב האתחול של יישומי NET.
כדי לנטרל מראש את מנגנוני האבטחה של היישום באמצעות קובץ קונפיגורציה לגיטימי. נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב-תכליתיות שהופעלו במסגרת המתקפה.