Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
W maju 2026 roku ujawniono nowe ustalenia dotyczące aktywności irańsko-powiązanej grupy APT znanej jako Screening Serpens. Opisywane kampanie koncentrują się na działaniach cyberwywiadowczych wymierzonych w organizacje o wysokiej wartości operacyjnej i strategicznej, przede wszystkim z sektorów lotniczego, obronnego, telekomunikacyjnego oraz technologicznego.
Rdzeniem operacji pozostaje spear phishing, czyli celowane wiadomości przygotowywane pod konkretną osobę lub rolę zawodową. Atakujący wykorzystują wiarygodne przynęty, podszywanie się pod znane marki oraz złośliwe oprogramowanie typu RAT, aby uzyskać trwały dostęp do środowiska ofiary.
W skrócie
Badacze zagrożeń opisali serię kampanii prowadzonych od lutego do kwietnia 2026 roku. W operacjach wykorzystano sześć nowych wariantów malware należących do dwóch rodzin: MiniUpdate oraz MiniJunk V2.
- Celami były podmioty w Stanach Zjednoczonych, Izraelu, Zjednoczonych Emiratach Arabskich oraz innych organizacjach na Bliskim Wschodzie.
- Przynęty obejmowały fałszywe oferty pracy, spreparowane portale rekrutacyjne i imitacje zaproszeń do spotkań wideo.
- Ataki były silnie spersonalizowane i przygotowywane pod konkretne osoby.
- Operatorzy stosowali wydzieloną infrastrukturę C2 dla poszczególnych celów, co utrudniało wykrycie i korelację incydentów.
Kontekst / historia
Screening Serpens od lat jest wiązana z irańskimi celami wywiadowczymi i była już wcześniej opisywana pod innymi nazwami. Najnowsza fala kampanii pokazuje jednak wyraźny wzrost dojrzałości operacyjnej: lepsze rozpoznanie ofiar, większą personalizację przynęt oraz bardziej uporządkowane wykorzystanie infrastruktury.
Z analiz wynika, że intensyfikacja działań nastąpiła po rozpoczęciu regionalnego konfliktu na Bliskim Wschodzie 28 lutego 2026 roku. Od połowy lutego do połowy kwietnia grupa prowadziła operacje konsekwentnie, z ograniczaniem współdzielenia infrastruktury między kampaniami i częstą rotacją domen sterujących.
Taki model działania jest charakterystyczny dla dojrzałych grup APT. Pozwala ograniczać skutki wykrycia pojedynczej kampanii, utrudnia blokowanie na podstawie prostych IOC i zwiększa szanse na długotrwałe utrzymanie dostępu.
Analiza techniczna
Techniczna strona kampanii opierała się na połączeniu socjotechniki z malware uruchamianym przez samą ofiarę. W części przypadków wykorzystywano archiwa ZIP zawierające dokumenty PDF z opisami stanowisk, a następnie kolejne archiwum lub plik wykonywalny udający dostęp do portalu rekrutacyjnego. W innych scenariuszach atakujący podszywali się pod oprogramowanie do wideokonferencji i nakłaniali do pobrania rzekomego instalatora.
Po uruchomieniu ładunku grupa wykorzystywała techniki związane z ładowaniem złośliwych bibliotek przez legalne komponenty. Podejście to przypomina DLL sideloading lub hijacking przepływu wykonania, w którym zaufany proces ładuje podstawiony moduł zamiast oczekiwanej biblioteki. Dzięki temu złośliwy kod działa pod osłoną legalnego procesu, co utrudnia detekcję.
Jednym z bardziej interesujących elementów ewolucji kampanii było zastosowanie techniki AppDomainManager hijacking w środowisku .NET. Pozwala ona wpłynąć na inicjalizację aplikacji jeszcze przed właściwym wykonaniem głównej logiki programu, co może służyć osłabieniu lokalnych mechanizmów ochronnych i przygotowaniu środowiska pod działanie wielofunkcyjnych RAT-ów.
Rodzina MiniUpdate była używana między innymi w kampaniach z marca 2026 roku wymierzonych w podmioty w USA i Izraelu, a następnie także przeciwko celom na Bliskim Wschodzie w połowie kwietnia. Z kolei MiniJunk V2 pojawiał się już w lutym i marcu, a jeden z opisanych przypadków wskazywał na długotrwałe przygotowanie operacji wobec specjalisty IT aktywnie poszukującego pracy.
W warstwie infrastrukturalnej operatorzy korzystali z niewielkich zestawów domen C2, często przypisywanych do konkretnej ofiary i konkretnego wariantu malware. Taki model skraca czas życia infrastruktury, zmniejsza jej widoczność i utrudnia klasyczne blokowanie wyłącznie na podstawie znanych wskaźników kompromitacji.
Konsekwencje / ryzyko
Najpoważniejszym ryzykiem jest skuteczny cyberwywiad przeciwko organizacjom o znaczeniu strategicznym. Uzyskanie dostępu przez RAT może umożliwić kradzież dokumentów, pozyskanie danych uwierzytelniających, mapowanie środowiska, ruch boczny i przygotowanie kolejnych etapów operacji.
Szczególnie zagrożone są zespoły inżynieryjne, IT, telekomunikacyjne, badawczo-rozwojowe oraz administracyjne. To właśnie wobec tych ról najłatwiej zbudować przekonującą narrację rekrutacyjną lub biznesową, która skłoni użytkownika do samodzielnego uruchomienia złośliwego pliku.
Ryzyko nie ogranicza się wyłącznie do organizacji bezpośrednio związanych z obronnością. Potencjalnymi ofiarami mogą stać się również firmy z łańcucha dostaw, operatorzy telekomunikacyjni oraz dostawcy usług wspierających krytyczne procesy biznesowe i państwowe.
Rekomendacje
Organizacje powinny traktować wysoko spersonalizowane wiadomości rekrutacyjne, oferty współpracy i zaproszenia do spotkań jako potencjalny wektor ataku, szczególnie gdy zawierają archiwa ZIP, instalatory albo nietypowe instrukcje uruchamiania plików. Niezbędne są jasne procedury weryfikacji takich materiałów, zwłaszcza w działach technicznych i wśród pracowników aktywnych zawodowo w sieci.
- Monitorować uruchamianie legalnych plików EXE z nietypowych lokalizacji użytkownika.
- Wykrywać anomalie związane z ładowaniem bibliotek DLL oraz konfiguracją aplikacji .NET.
- Analizować tworzenie procesów potomnych z archiwów i katalogów tymczasowych.
- Stosować EDR lub XDR z detekcją behawioralną, a nie wyłącznie ochronę sygnaturową.
- Blokować wykonywanie niepodpisanych lub nieautoryzowanych komponentów z katalogów użytkownika.
- Ograniczać uruchamianie archiwów i instalatorów pobieranych z poczty oraz komunikatorów.
- Wzmacniać ochronę tożsamości, segmentację dostępu i stosowanie MFA odpornego na phishing.
Ważną rolę odgrywają również zespoły SOC i threat hunting. Powinny one rozwijać reguły detekcyjne pod kątem przynęt rekrutacyjnych, spoofingu marek, fałszywych portali spotkań i technik sideloadingu. Równolegle należy prowadzić szkolenia użytkowników skoncentrowane na scenariuszach spear phishingu opartych na realnym kontekście zawodowym.
Podsumowanie
Najnowsza aktywność grupy Screening Serpens pokazuje, że współczesne operacje APT coraz częściej opierają się na połączeniu precyzyjnego rozpoznania ofiary z umiarkowanie złożonym, ale skutecznie wdrażanym malware. O sile kampanii decyduje nie tylko sam kod, lecz cały łańcuch ataku: wiarygodna przynęta, legalnie wyglądający nośnik infekcji, techniki ukrywania wykonania oraz dedykowana infrastruktura C2.
Dla organizacji działających w sektorach strategicznych oznacza to konieczność przesunięcia uwagi z obrony przed phishingiem masowym na ochronę przed wysoce ukierunkowanym spear phishingiem. Skuteczna odpowiedź wymaga połączenia detekcji behawioralnej, kontroli uruchamiania kodu, ochrony tożsamości i stałego monitorowania oznak kampanii celowanych.