Nieuwe Iraanse dreigingsactor richt pijlen op beleidsdeskundigen

Aanvalspatroon: van e-mail naar RMM-payload

De aanval begon met een simpel e-mailgesprek. Kort daarna werd geprobeerd inloggegevens te verzamelen via social engineering. Vervolgens stuurden de aanvallers een URL naar een archiefbestand dat een MSI-installer bevatte. Deze laadde Remote Management & Monitoring (RMM)-payloads in, waarmee volledige controle over systemen werd verkregen. De infrastructuur deed zich voor als legitieme diensten, zoals OnlyOffice-hostingomgevingen.

Doelgerichte phishing en politieke context

Het onderzoek toont aan dat UNK_SmudgedSerpent inspeelt op actuele maatschappelijke en politieke ontwikkelingen, zoals de militarisering van de Iraanse Revolutionaire Garde (IRGC). In de communicatie werd verwezen naar interne spanningen binnen Iran – vermoedelijk om geloofwaardigheid op te bouwen en vertrouwen te winnen bij de doelwitten.

De dreigingsactor maakte onder andere gebruik van:

• Onschuldige gespreksopeners via e-mail
• Spoofing van healthcare-infrastructuur
• Hosting van schadelijke bestanden via bekende platforms
• RMM-tools voor diepgaande toegang

Overlap met andere Iraanse actoren

Hoewel de tactieken overeenkomsten vertonen met bekende groepen als TA455 (Smoke Sandstorm), TA453 (Charming Kitten) en TA450 (MuddyWater), blijft attributie onzeker. De overlappingen suggereren samenwerking of personeelsmobiliteit tussen Iraanse groepen, maar er is nog geen directe toekenning mogelijk.

Aanhoudend risico

Na augustus 2025 zijn geen nieuwe campagnes van UNK_SmudgedSerpent waargenomen, maar onderzoekers vermoeden dat de groep nog actief is. De gebruikte technieken en doelstellingen wijzen op een voortzetting van bekende Iraanse cyberstrategieën, met een focus op informatievergaring rond buitenlands beleid.