Wprowadzenie do problemu / definicja luki
Nie mamy tu „jednej CVE”, tylko klasyczny scenariusz APT: ukierunkowany spear-phishing, wiarygodne podszycie się pod instytucję państwową i łańcuch infekcji prowadzący do zdalnego wykonania poleceń (RAT/backdoor). W nowej kampanii badacze Zscaler ThreatLabz przypisują z średnio-wysoką pewnością aktywność klastrowi „Dust Specter” (powiązania z Iranem na bazie TTP, doboru celów i podobieństw w kodzie).
Kluczowy element: atakujący podszywają się pod irackie Ministerstwo Spraw Zagranicznych, a do dystrybucji payloadów wykorzystują również skompromitowaną infrastrukturę powiązaną z irackim rządem.
W skrócie
- Kampania była obserwowana w styczniu 2026 i celowała w urzędników państwowych w Iraku.
- Zidentyfikowano dwa łańcuchy infekcji z nowymi, wcześniej nieopisywanymi rodzinami: SPLITDROP, TWINTASK, TWINTALK, GHOSTFORM (wszystko w .NET).
- C2 obejmuje m.in. losowe ścieżki URI z checksumami, geofencing i weryfikację User-Agent, co utrudnia analizę i ogranicza „szum” od badaczy/sandboxów.
- W kodzie znaleziono ślady sugerujące wsparcie generatywnej AI przy tworzeniu malware (np. „placeholdery”, nietypowe wstawki/znaki).
Kontekst / historia / powiązania
Zscaler opisuje „Dust Specter” jako klaster działający w paradygmacie znanym z operacji iran-nexus: lekkie, customowe backdoory w .NET, dopasowane do kampanii, plus mocne socjotechniczne przynęty i infrastruktura dobrana pod region/cele.
Dodatkowo w tle pojawia się trend „ClickFix-style” (nakłanianie ofiary do uruchomienia poleceń/PowerShell pod pretekstem dołączenia do spotkania/naprawy problemu). The Hacker News wskazuje, iż powiązana domena/infrastruktura była wykorzystywana także wcześniej do przynęt udających np. zaproszenia do spotkań i instruujących uruchomienie skryptu PowerShell.
Analiza techniczna / szczegóły „luki” (łańcucha ataku)
Attack Chain 1: SPLITDROP → TWINTASK + TWINTALK (architektura „split”)
Wejście: zaszyfrowane/hasłowane archiwum RAR (przynęta podszyta pod MSZ), w którym znajduje się 32-bitowy dropper .NET „SPLITDROP” podszyty pod WinRAR.
SPLITDROP rozpakowuje/deployuje elementy do katalogu w ProgramData i uruchamia legalny komponent, by przejść do kolejnego etapu (typowy „living off the land” + zaufany binarny ładunek). W opisie kampanii pojawiają się artefakty ścieżek typu:
- C:\ProgramData\PolGuid\... (m.in. pliki poleceń i wyników)
TWINTASK (worker) działa jako DLL i jest ładowany metodą DLL sideloading przez legalny proces (w opisie: „vlc.exe” sideloaduje „libvlc.dll”). Moduł cyklicznie odczytuje plik z poleceniami (co 15 sekund) i wykonuje je przez PowerShell, zapisując wyniki do osobnego pliku.
TWINTALK (orchestrator) koordynuje pracę z TWINTASK oraz komunikuje się z C2 (pobieranie poleceń, przesył wyników, transfer plików).
Attack Chain 2: GHOSTFORM (skonsolidowany RAT)
W drugim łańcuchu „GHOSTFORM” scala funkcje wcześniejszych modułów w jeden binarny RAT .NET i wyróżnia się m.in. in-memory PowerShell execution (mniej artefaktów na dysku) oraz technikami opóźniania/ukrywania wykonania (np. niewidoczne okna formularzy + timery).
Ciekawostka operacyjna: część próbek GHOSTFORM miała uruchamiać w przeglądarce link do Google Forms wyglądający jak oficjalna ankieta MSZ (treść po arabsku), co może służyć uwiarygodnieniu scenariusza socjotechnicznego lub jako element „distraction/decoy”.
C2 i utrudnianie analizy
Zscaler podkreśla kilka mechanizmów „kontroli dostępu” po stronie serwera C2:
- losowe ścieżki URI z dołączonym checksumem (żądania mają wyglądać jak pochodzące z realnej infekcji),
- geofencing (ograniczenie obsługi do wybranych lokalizacji),
- weryfikacja User-Agent.
Praktyczne konsekwencje / ryzyko
Dla organizacji rządowych i podmiotów współpracujących (dostawcy, NGO, firmy consultingowe obsługujące administrację) ryzyka są bardzo konkretne:
- Zdalne wykonanie poleceń i kradzież danych: PowerShell jako „uniwersalny interpreter” ułatwia szybkie dostosowanie działań (rekonesans, eksfiltracja, pobranie kolejnych narzędzi).
- Trudniejsza detekcja: DLL sideloading i użycie legalnych binarek zmniejsza „podejrzaność” na poziomie EDR, jeżeli organizacja nie ma twardych polityk allow-listing.
- Selektywność kampanii: geofencing i walidacje w C2 sugerują, iż atak nie jest masowy – celem są konkretne osoby/role, a infrastruktura jest ograniczana, by nie „wypalić” narzędzi.
Rekomendacje operacyjne / co zrobić teraz
Poniżej lista działań „od razu”, możliwie praktyczna dla SOC/Blue Teamu:
Email i wejście (pre-infection)
- Wzmocnij ochronę przed spear-phishingiem: izolacja załączników (sandbox), blokady na archiwa hasłowane (RAR/ZIP) lub przynajmniej wymuszenie dodatkowej inspekcji dla „password-protected attachments”.
- Polityki dla plików zewnętrznych: Mark-of-the-Web, blokada uruchamiania binarek z katalogów użytkownika i z nietypowych lokalizacji.
Endpoint/EDR
- Włącz/zaostrz reguły dla PowerShell: Script Block Logging, AMSI, blokady dla podejrzanych parent-child (np. media player → PowerShell).
- Monitoruj i alertuj na schemat: vlc.exe (lub inne legalne binarki) ładujące DLL z własnego katalogu + tworzenie/odczyt plików w C:\ProgramData\... (np. „in.txt/out.txt”).
- Rozważ AppLocker/WDAC (allow-listing) w krytycznych segmentach – to realnie ogranicza DLL sideloading.
Sieć
- Poluj na wskaźniki TTP: nietypowe beaconing do świeżych domen, żądania z nietypowymi ścieżkami URI (losowe + checksum), anomalie User-Agent (lub jego „sztywna” wartość).
- Segmentacja i egress control: ogranicz ruch z hostów użytkowników do Internetu (zwłaszcza niepotrzebne porty/usługi) i wymuszaj proxy z inspekcją.
Threat hunting
- Przeszukaj flotę pod kątem artefaktów z opisu kampanii (katalogi w ProgramData, pliki poleceń/wyników, podejrzane DLL obok legalnych exe, zadania harmonogramu/Run keys, jeżeli wykryte w środowisku).
- Skorzystaj z IOC/sekcji „Zscaler Coverage” w raporcie ThreatLabz jako punktu startowego do detekcji i blokad.
Różnice / porównania z innymi przypadkami
- Split vs monolit: Chain 1 rozdziela role (worker/orchestrator) i komunikuje się plikami; Chain 2 (GHOSTFORM) ogranicza artefakty na dysku dzięki in-memory PowerShell – to typowa „ewolucja” w stronę mniejszej wykrywalności.
- ClickFix jako trend: kampanie, które „uczą” użytkownika uruchomić PowerShell, stają się powtarzalnym motywem – nie tylko w przestępczości, ale i w operacjach ukierunkowanych. W tej sprawie podobieństwo zostało wskazane przez THN/Zscaler.
- AI w wytwarzaniu malware: zamiast „magicznie nowego” wektora, mamy sygnały, iż generatywna AI przyspiesza development (szablony, placeholdery, nietypowe artefakty), co obniża koszt iteracji po stronie atakującego.
Podsumowanie / najważniejsze wnioski
Dust Specter to przykład dojrzałej operacji APT: wiarygodne podszycie się pod instytucję, dwa równoległe łańcuchy infekcji, nacisk na PowerShell oraz mechanizmy C2 ograniczające ekspozycję kampanii. Największa lekcja obronna jest prosta: blokowanie/ograniczanie PowerShell + kontrola uruchomień (allow-listing) + polowanie na DLL sideloading dają tu największy zwrot z inwestycji.
Źródła / bibliografia
- Zscaler ThreatLabz – Dust Specter APT Targets Government Officials in Iraq (02.03.2026) (zscaler.com)
- Security Affairs – Iran-nexus APT Dust Specter targets Iraq officials with new malware (06.03.2026) (Security Affairs)
- The Hacker News – Dust Specter Targets Iraqi Officials with New SPLITDROP and GHOSTFORM Malware (05.03.2026) (The Hacker News)
- SC Media / SC World – Iran targets Iraqi government officials with multiple new malware strains (04.03.2026) (SC Media)
