Nieuw Iraans spionagecluster richt zich op beleidsexperts
Een nieuw, voorheen onopgemerkt spionagecluster met vermoedelijke banden met Iran, aangeduid als UNK_SmudgedSerpent, heeft zich afgelopen zomer gericht op academici en experts op het gebied van buitenlands beleid, met name in de VS. Dit blijkt uit onderzoek van cybersecuritybedrijf Proofpoint.
Het cluster viel op door een onschuldig lijkende, sociaal gemanipuleerde e-mail over economische en politieke onrust in Iran. Hoewel de activiteiten plaatsvonden tijdens de oplopende spanningen tussen Iran en Israël, waren er geen directe aanwijzingen dat deze activiteit gelinkt was aan de militaire confrontaties. De doelwitten waren beleidsdeskundigen, wat de prioriteit van de Iraanse overheid op het gebied van inlichtingenvergaring over interne en externe politiek weerspiegelt.
Infectieketen en gekopieerde tactieken
De aanvalsketen van UNK_SmudgedSerpent startte met een onschuldig gesprek, gevolgd door een e-mailuitwisseling en een poging om inloggegevens te stelen (credential phishing). Later werd overgegaan op gerichte phishing binnen hetzelfde gesprek. Het cluster stuurde een URL die leidde naar een archiefbestand met een Microsoft Installer (MSI) die Remote Management & Monitoring (RMM)-tools installeerde.
Het opvallende aan UNK_SmudgedSerpent is de sterke tactische overlap (Tactics, Techniques and Procedures - TTP) met meerdere bekende, aan Iran gelinkte dreigingsgroepen:
- TA455 (C5 Agent, Smoke Sandstorm)
- TA453 (Charming Kitten, Mint Sandstorm)
- TA450 (MuddyWater, Mango Sandstorm)
Vanwege deze grote raakvlakken is het voor Proofpoint niet mogelijk om het cluster met zekerheid aan één specifieke groep toe te schrijven. De overlappingen suggereren echter dat er sprake kan zijn van personeelsmobiliteit of -uitwisseling tussen de bestaande Iraanse cyberteams, maar met een consistente inlichtingenmissie.
Lokmiddelen en infrastructuur
De dreigingsactor speelde specifiek in op gevoelige binnenlandse politieke situaties in Iran, zoals maatschappelijke veranderingen en onderzoek naar de militarisering van de IRGC (Islamitische Revolutionaire Garde).
Voor de uitvoering van de aanvallen maakte UNK_SmudgedSerpent gebruik van:
- Onschuldige gesprekstarters om het vertrouwen te winnen.
- Healthcare-infrastructuur.
- Vervalste OnlyOffice-bestandshostingsites (spoofs).
- Legitieme Remote Management & Monitoring (RMM) tools voor de payload.
Hoewel UNK_SmudgedSerpent sinds augustus 2025 niet meer is waargenomen in e-mailcampagnes, acht Proofpoint de dreigingsactor waarschijnlijk nog actief. De opkomst van deze nieuwe actor met ‘geleende’ technieken bevestigt dat de inspanningen voor Iraanse inlichtingenvergaring onverminderd doorgaan. De focus op buitenlands beleidsexperts en de voortzetting van bekende TTP’s onderstrepen de aanhoudende prioriteiten van de Iraanse regering.
