Смайлики в коде = потеря гостайны. Иран нашел креативный способ шпионить за чиновниками Ирака
NewsMakerНовый вирус GHOSTFORM запускается в памяти компьютера и скрывается от антивирусов.
Хакеры, предположительно связанные с Ираном, развернули новую кампанию против иракских чиновников и использовали для атак сразу несколько ранее неизвестных вредоносных программ. В ходе операции злоумышленники маскировались под Министерство иностранных дел Ирака и распространяли зараженные файлы, которые выглядели как служебные документы.
Специалисты компании Zscaler обнаружили активность в январе 2026 года. Кампанию связали с группировкой, получившей условное название Dust Specter. По оценке специалистов, инструменты и методы работы совпадают с приемами других иранских хакерских групп.
Злоумышленники применяли два разных сценария атаки. В первом случае использовали цепочку из нескольких вредоносных программ: SPLITDROP, TWINTASK и TWINTALK. Во втором сценарии работала другая программа под названием GHOSTFORM, которая объединяет функции всех компонентов в одном файле.
Первая схема начиналась с архива RAR под названием mofa-Network-code.rar, защищенного паролем. Внутри находился файл, замаскированный под приложение WinRAR . После запуска программа SPLITDROP показывала окно ввода пароля для распаковки архива. Пока пользователь взаимодействовал с окном, вредоносная программа расшифровывала скрытые файлы и сохраняла их в каталог C:\ProgramData\PolGuid.
Хакеры, предположительно связанные с Ираном, развернули новую кампанию против иракских чиновников и использовали для атак сразу несколько ранее неизвестных вредоносных программ. В ходе операции злоумышленники маскировались под Министерство иностранных дел Ирака и распространяли зараженные файлы, которые выглядели как служебные документы.
Специалисты компании Zscaler обнаружили активность в январе 2026 года. Кампанию связали с группировкой, получившей условное название Dust Specter. По оценке специалистов, инструменты и методы работы совпадают с приемами других иранских хакерских групп.
Злоумышленники применяли два разных сценария атаки. В первом случае использовали цепочку из нескольких вредоносных программ: SPLITDROP, TWINTASK и TWINTALK. Во втором сценарии работала другая программа под названием GHOSTFORM, которая объединяет функции всех компонентов в одном файле.
Первая схема начиналась с архива RAR под названием mofa-Network-code.rar, защищенного паролем. Внутри находился файл, замаскированный под приложение WinRAR . После запуска программа SPLITDROP показывала окно ввода пароля для распаковки архива. Пока пользователь взаимодействовал с окном, вредоносная программа расшифровывала скрытые файлы и сохраняла их в каталог C:\ProgramData\PolGuid.