Det amerikanske cybersikkerhedsfirma Palo Alto Networks’ forskningsafdeling, Unit 42, har afsløret en iransk cyber-spionagekampagne målrettet europæiske borgere.

Iranske angribere oprettede en falsk hjemmeside, som imiterede det legitime tyske modelbureau Mega Model Agency. Svindelsiden indeholdt sløret (”obfuskeret”) JavaScript-kode, der indsamlede besøgendes browserdata, såsom sprogindstillinger, skærmopløsning, IP-adresser og browserfingeraftryk. ”Obfuskering” gør JavaScript-kode uforståelig for mennesker på grund af dens komplekse formatering.

Siden præsenterede også en fiktiv kvindelig model ved navn Shir Benzion, hvis profil indeholdt et ikke-fungerende link til et privat album. Det vurderes som en del af en social engineering-strategi, der har til formål at lokke ofre til at afsløre yderligere information eller downloade malware.

Unit 42 vurderer, at kampagnen sandsynligvis er orkestreret af den iranske trusselsaktørgruppe Agent Serpens (også kendt som APT35 eller Charming Kitten). Gruppen udfører langvarige og ressourcekrævende cyber-spionageoperationer, sandsynligvis på vegne af Irans Revolutionsgarde (IRGC). Denne gruppe har tidligere været målrettet mod iranske dissidenter, journalister og aktivister bosat i udlandet.

Denne operation, som kombinerer detaljeret profilering af besøgende og sofistikeret imitationstaktik, vidner om en fortsat optrapning i mistænkte iranske cyber-spionageaktiviteter. Sådanne aktiviteter udgør betydelige risici for både organisationer og enkeltpersoner – især dem, der støtter eller arbejder med iranske dissidenter. Både enkeltpersoner og organisationer bør være særligt forsigtige med uopfordret kontakt, der tilbyder tilsyneladende attraktive muligheder.

Det er vigtigt at verificere legitimiteten af kontakter, hjemmesider og tilbud, før man interagerer eller deler følsomme oplysninger.