Afgelopen zomer, onderzocht Proofpoint een onschuldige lijkende e-mail over economische onzekerheid en binnenlandse politieke onrust in Iran. Ondanks dat dit plaatsvond terwijl het conflict tussen Iran en Israël escaleerde, waren er geen aanwijzingen dat de waargenomen activiteit direct te maken had met de aanvallen van Israël op Iraanse nucleaire installaties of de reacties van Iran op deze aanvallen. Toch toonde een eerste analyse van de activiteit tactieken, technieken en procedures (TTP) die overlappen met meerdere groeperingen gelinkt aan Iran. Deze groeperingen bestaan onder andere uit TA455 (C5 Agent, Smoke Sandstorm), TA453 (Charming Kitten, Mint Sandstorm) en TA450 (MuddyWater, Mango Sandstorm). Er zijn geen sterke verbanden met een van de dreigingsgroepen, daarom wordt er naar de activiteit gerefereerd als een tijdelijk cluster met de naam UNK_SmudgedSerpent.
De infectieketen begon als een onschuldig gesprek, gevolgd door een e-mailwisseling en een poging om inloggegevens te verzamelen. Na deze eerste poging, ging UNK_SmudgedSerpent door met phishingactiviteiten binnen hetzelfde gesprek. Het cluster had een specifiek doelwit en stuurde vervolgens een URL die een archiefbestand met een MSI bevatte dat RMM-payloads inlaadde.
Uit het onderzoek blijkt onder andere:
- UNK_SmudgedSerpent, die tot afgelopen zomer nog onontdekt was, richt zich op academici en deskundigen op het gebied van buitenlands beleid.
- UNK_SmudgedSerpent speelt in op binnenlandse politieke situaties, waaronder maatschappelijke veranderingen in Iran en onderzoek in de militarisering van de IRGC.
- UNK_SmudgedSerpent gebruikt onschuldige gespreksstarters, healthcare infrastructuur, OnlyOffice bestandshosting spoofs en Remote Management & Monitoring (RMM) tools.
- Tijdens het onderzoek laat UNK_SmudgedSerpent tactieken zien die lijken op verschillende Iraanse dreigingsactoren: TA455 (C5 Agent, Smoke Sandstorm), TA453 (Charming Kitten, Mint Sandstorm) en TA450 (MuddyWater, Mango Sandstorm).
- Overlappende TTP’s voorkomen een betrouwbare toekenning, maar verschillende hypothesen zouden de band tussen UNK_SmudgedSerpent en andere Iraanse groepen kunnen verklaren.
Nadat UNK_SmudgedSerpent voor het eerst geobserveerd in juni 2025, zagen de onderzoekers dat het zich ook een aantalkeer richtte op beleidsdeskundigen in de VS. Hierbij gebruikten de dreigingsactor lokmiddelen die gingen over interne politieke ontwikkelingen in Iran. Het daaropvolgende onderzoek liet meerdere overlappingen zien met TA453, TA450 en TA455. Door deze grote raakvlakken het niet mogelijk om met zekerheid te zeggen dat UNK_SmudgedSerpent tot een van deze groepen behoort.
Hoewel UNK_SmudgedSerpent niet meer is geobserveerd in e-mailcampagnes sinds augustus 2025, is de dreigingsactor waarschijnlijk nog wel actief. De opkomst van een nieuwe actor met geleende technieken suggereert dat er mogelijk sprake is van personeelsmobiliteit of -uitwisseling tussen teams, maar met een consistente missie. Terwijl dit eerste onderzoek wordt vrijgegeven, is de toekenning voor UNK_SmudgedSerpent nog niet bevestigd. De TTP’s en infrastructuur zetten eerder waargenomen gedrag van Iraanse dreigingsactoren voort. En de focus op Iraanse deskundigen op het gebied van buitenlands beleid weerspiegelt de prioriteiten van de Iraanse regering wat betreft inlichtingenvergaring.
Klik
hier voor het volledige onderzoek.