דו"ח מחקר של חברת צ'ק פוינט שיצא השבוע, ממפה את הקבוצות האיראניות שתוקפות אותנו כרגע במרחב הקיברנטי, מה שמכונה גם סייבר ספייס או פשוט, סייבר. לכל קבוצה יש מאפיינים ושיטות פעולה משלה, ואלו הן:
Cotton Sandstorm
הקבוצה הראשונה שמקבלת זרקור היא Cotton Sandstorm שמזוהה גם בשמות נוספים וקשורה למשמרות המהפכה, היא לא קבוצה שחיה רק על ניצול חולשות, היא משחקת על התפר בין השחתת אתרים, DDoS, חטיפת חשבונות וגניבת מידע - ואז האדרה עצמית ברשת באמצעות דמויות מזויפות והתחזות כדי לתפור נרטיב.
לפי החוקרים Cotton Sandstorm עושה שימוש קבוע בכלי בשם WezRat - הגונב מידע מודולרי שמופץ לרוב בפישינג ממוקד שמתחזה לעדכון תוכנה "דחוף". בחלק מהמקרים מיוחסת לה גם פריסה של כופרה בשם WhiteLock נגד יעדים בישראל.
Educated Manticore או Charming Kitten
אם Cotton Sandstorm אוהבת רעש, Educated Manticore משחקת משחק אחר: ריגול. מדובר בקבוצה שמיוחסת לארגון המודיעין של משמרות המהפכה, וחופפת למה שמכנים בעולםCharming Kitten או בעגה המקצועית APT35/APT42. כאן לא מחפשים בהכרח לשרוף רשתות - אלא להשיג מידע ממטרות מודיעין אנושיות, כלומר, אנשים.
הדפוס חוזר: התחזות ברמת אדם אמיתי, פנייה לעיתונאים, חוקרים, מומחי אבטחה ואקדמאים, ואז דחיפה עדינה שלהם לערוצים שנראים לגיטימיים - מיילים, אפליקציות מסרים, ולינקים שמובילים לערכות פישינג שמתחזות לשירותים כמו WhatsApp, Teams או Google Meet. המטרה היא לא רק לגנוב סיסמאות, אלא גם להשתלט על יישומים פעילים, כדי להיכנס בשקט ולהתחיל לקצור תיבות דואר ומסמכים. בחלק מהמקרים, לפי הסקירה, יש גם יכולות מעקב כמו חשיפת מידע מיקום.
Handala
מותג "האקטיביסטים הפרו-פלסטינים" שכתבנו עליו כאן לא מעט והופיע בסוף 2023. לפי ההערכה בסקירה, מדובר בפרסונה שמופעלת כחלק ממערך רחב יותר של Void Manticore שמיוחס למשרד המודיעין האיראני. היתרון של מודל כזה ברור: אפשר לייצר דיסאינפורמציה והפחדה בלי לשים דגל רשמי על השולחן.
הגישה מתוארת כזריזה ואופורטוניסטית: פריצה למטרות קלות, גניבת מידע והדלפה, ותזמון פרסום כדי למקסם לחץ תדמיתי. יש גם דגש על דריסות רגל בשרשרת האספקה, ספקי IT ושירות, כדי להגיע לקורבנות בהמשך. לפי הסקירה, החל מינואר נצפתה פעילות שמגיעה מכתובות IP שנמצאות בשימוש של סטארלינק, לצד סריקות של אפליקציות חיצוניות בחיפוש אחר תצורות שגויות וסיסמאות חלשות. בשלב ההסלמה הנוכחי, הקבוצה כבר דוחפת מסרים מאיימים גם כלפי מדינות המפרץ.
MuddyWater
MuddyWater שמקושרת לרוב למשרד המודיעים האיראני, מייצגת את הצד המתיש של האיום: חדירות ארוכות טווח, איסוף שיטתי, והתבססות בתוך ארגונים. המטרות הטיפוסיות של הקבוצה הוותיקה הן ממשלות, טלקום ואנרגיה במזרח התיכון - תשתיות וארגונים שלא תמיד מהירים במיוחד לסגור פרצות (ולפעמים אפילו לא יודעים איפה הם).
לפי החוקרים של צ'קפוינט, הקבוצה ממשיכה להישען על כלי RMM (ניהול וניטור מרחוק) שמופצים דרך שירותי שיתוף קבצים לגיטימיים, בגלי פישינג רחבים. מול מטרות בעלות ערך, היא תעבור גם לכלים מותאמים - חלקם, נטען, עשויים לשאת סימנים לפיתוח בסיוע של בינה מלאכותית, כאשר הם משתמשים בשלל כלים שהמטרה שלהם היא להשיג כניסה לרשת ארגונית ולהתחיל לשחק משם.
Agrius
אגריוס פעילה מאז 2020 ומקושרת גם היא למשרד המודיעין האיראני לפי פרסומים פומביים, מזוהה במיוחד עם פעילות הרסנית. היא אוהבת כופרה מהסוג שמטרתו לא כסף אלא כיסוי לפעילות האמיתית שלה: פעולות מחיקה והפרעה שמתחזות לסחיטה. האופן שבו זה נראה בשטח, לפי התיאור, כולל ניצול שרתי רשת חשופים, ושימוש בכלי מדף.
אחת הנקודות המסקרנות בסקירה נוגעת למלחמה בת 12 הימים בין ישראל לאיראן ביוני 2025: צ'קפוינט טוענת שנצפתה תשתית שמקושרת לאגריוס, הסורקת מצלמות פגיעות בישראל - כנראה כדי לקבל מודיעין תצפיתי, להעריך תגובות ונזק, בהמשך לידיעה שפרסמנו הבוקר.