Ирански хакери атакуваха голям южнокорейски производител на електроника

Според репортаж на BleepingComputer [1], базиран на проучване на Symantec, иранската хакерска група MuddyWater (известна още като Seedworm) е провела широка кампания за кибершпионаж, насочена към поне девет високопрофилни организации. Сред жертвите е голям производител на електроника в Южна Корея, както и правителствени агенции и летище в Близкия изток.

Изображение: Svetni.me / Авторско изображение

Техническо изпълнение

Кампанията разчита силно на техниката DLL sideloading, при която легитимен софтуер зарежда зловредни библиотеки. Хакерите са злоупотребили с компоненти на SentinelOne и аудио инструменти на Fortemedia, за да заредят ChromElevator – софтуер за кражба на данни от браузъри [2].

В мрежата на корейския производител нападателите са прекарали една седмица през февруари 2026 г. [3]. Те са използвали PowerShell за екранни снимки и разузнаване, като са контролирали процесите чрез Node.js. За извеждане на откраднатите данни е използвана публичната услуга sendit.sh, за да се маскира трафикът като легитимен.

Източници:
[1]: Iranian hackers targeted major South Korean electronics maker - BleepingComputer
[2]: Symantec Threat Hunter Team Analysis - Symantec (Реферирано чрез BleepingComputer)
[3]: Seedworm: Iran-linked Group Targets Organizations in Asia and Middle East - Symantec (Реферирано чрез BleepingComputer)