חוקרי פאלו אלטו נטוורקס (ת"א: סיבר, נאסד"ק: PANW) פרסמו דוח ובו חשפו קמפיין ריגול מתקדם של קבוצת Screening Serpens, (המוכרת גם כ-Iranian) המזוהה עם איראן, ומפעילה נוזקות וטכניקות תקיפה חדשות.
לדבריהם, הקבוצה תקפה גופים בארה״ב, ישראל ואיחוד האמירויות, וככל הנראה גם בשני יעדים נוספים במזרח התיכון. המחקר מתמקד בהתפתחות מתקפות הסייבר שבוצעו בין אמצע חודש פברואר עד חודש אפריל האחרון.
עיתוי הקמפיינים הולם להסלמה האזורית שהחלה במזרח התיכון ב־28 בפברואר 2026 ולמבצע "שאגת הארי". במהלך החקירה זוהו שש גרסאות חדשות של סוסי טרויאני לגישה מרחוק (RAT), שפותחו והופעלו בין החודשים שצוינו.
שש גרסאות הסוס הטרויאני החדשות שאותרו, סווגו לשתי משפחות נוזקה חדשות, שהופעלו במסגרת קמפייני ריגול מקבילים. על בסיס עיתוי ההפעלה, ניתוח החברה, הצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות.
ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה עושה שימוש בטכניקה שעובדת בשיטה המנצלת את שלב האתחול של יישומי NET.
הקבוצה פעילה לפחות מאז שנת 2022. פעילותה האחרונה מצביעה על עלייה ביכולות הטכניות ובעמידות המבצעית שלה. הקבוצה מתמקדת בהנדסה חברתית מותאמת אישית. לעיתים קרובות, הם משתמשים בפיתיונות גיוס עובדים המתחזים למותגים מוכרים ולפלטפורמות גיוס, במטרה להטעות את היעדים ולהניע את שרשרת ההדבקה.
חודש מרץ: קמפיין סייבר בישראל
גרסה זו נמסרה באמצעות קובץ ZIP, והתחזתה לקובץ התקנה של פלטפורמת שיחות וידאו פופולרית. הניתוח של פאלו אלטו העלה כי גרסה זו הופצה לכל המוקדם ב-26 במרץ, ככל הנראה נגד גוף ישראלי.
חוקרי פאלו אלטו מסרו כי הם מעריכים ברמת ודאות בינונית-גבוהה כי הקמפיינים מנוהלים על ידי Screening Serpens. הקבוצה שמרה על קצב מבצעי גבוה לאורך החודשים מרץ ואפריל.
Iran-nexus APT Screening Serpens (aka UNC1549, Smoke Sandstorm) is deploying novel RAT variants in espionage campaigns targeting entities in the U.S., Israel and the UAE. These campaigns use AppDomainManager hijacking. Read our analysis for details: https://t.co/xTD398oRnx pic.twitter.com/hf5Fj1wtm3
— Unit 42 (@Unit42_Intel) May 22, 2026
חודש מרץ: קמפיין סייבר בארה"ב
התוקפים העבירו גרסה זו באמצעות קובץ ZIP, כחלק מקמפיין המתחזה לחברת תעופה גלובלית. הפצת נוזקה זו, החלה לכל הפחות ב-26 במרץ.
אמצע אפריל: קמפיינים במזרח התיכון
במתקפות שכוונו ככל הנראה נגד גופים באיחוד האמירויות וייתכן שבמדינה מזרח-תיכונית נוספת, פאלו אלטו זיהתה שתי גרסאות נוזקות חדשות שנשלחו בין ה-15 ל-17 באפריל. ב-15 באפריל גרסת נוזקה, פגעה בגוף בריאותי באיחוד האמירויות.
