Hôm thứ Tư (28/8), các nhà nghiên cứu của công ty an ninh mạng Mandiant (công ty con của Google Cloud, thuộc Alphabet) phát hiện một nhóm tin tặc Iran đã giả danh công ty tuyển dụng nhân sự để lừa các viên chức an ninh quốc gia tại Iran, Syria và Lebanon vào bẫy gián điệp mạng, theo Reuters.
Theo các nhà nghiên cứu, nhóm tin tặc này có chút dính líu đến nhóm APT42, hay còn gọi là Charming Kitten, bị cáo buộc đã tấn công chiến dịch tranh cử Tổng thống của ứng viên Đảng Cộng Hòa Donald Trump. APT42 được cho là thuộc về một đơn vị tình báo của Vệ Binh Cách Mạng Hồi Giáo (Islamic Revolutionary Guard Corps – IRGC). FBI đang điều tra về việc APT42 có thể đang cố gắng can thiệp vào cuộc bầu cử năm 2024 tại Hoa Kỳ.
Nghiên cứu của Mandiant phát hiện thấy một chiến dịch gián điệp kéo dài từ ít nhất năm 2017 cho đến gần đây. Chiến dịch này chủ yếu nhắm vào những quân nhân và nhân viên tình báo đang làm việc cho các đồng minh của Iran trong khu vực Trung Đông. Nhóm tin tặc Iran đã làm cho chiến dịch này trông giống như được điều hành bởi Israel, nhằm tìm ra những ai sẵn sàng tuồn tin mật cho Israel và các chính phủ phương Tây.
Phúc trình của Mandiant chỉ ra rằng: “Những dữ liệu thu thập được từ chiến dịch này có thể giúp bộ máy tình báo của Iran xác định những cá nhân nào có dị tâm, muốn hợp tác với các quốc gia mà Iran coi là thù địch. Các dữ liệu mà họ đã thu thập được có thể được sử dụng để phát hiện các hoạt động tình báo nhân sự (Human Intelligence – HUMINT) chống đối Iran và để truy tố bất kỳ công dân Iran nào bị nghi ngờ tham gia vào các hoạt động tình báo.”
Phái đoàn Iran tại Liên Hiệp Quốc chưa đưa ra bình luận về thông tin này.
Mandiant phát hiện rằng các điệp viên mạng đã tạo ra một mạng lưới các trang web giả danh công ty tuyển dụng nhân sự để lừa đảo những người nói tiếng Ba Tư. Các công ty giả mạo này có tên là VIP Human Solutions, còn được biết đến với các tên khác như VIP Recruitment, Optima HR và Kandovan HR. Nhóm tin tặc đã tạo ra hàng chục hồ sơ giả trên các nền tảng trực tuyến như Telegram, Twitter, YouTube và Virasty (một mạng xã hội phổ biến ở Iran) để quảng bá cho các công ty ma. Tuy nhiên, gần như tất cả các tài khoản Internet liên quan đến các công ty ma này hiện đã bị xóa bỏ.
Trích một tuyên bố từ một trong những trang web giả mạo: “VIP Recruitment là một trung tâm chuyên tuyển dụng những quân nhân có uy tín vào quân đội, các cơ quan an ninh và tình báo từ Syria và tổ chức Hezbollah ở Lebanon. Đến với chúng tôi, chúng ta cùng nhau thay đổi thế giới. Nhiệm vụ của chúng tôi là bảo vệ sự riêng tư của bạn.”
Để mở rộng quy mô chiến dịch, nhóm tin tặc đã sử dụng nhiều nền tảng mạng xã hội để phát tán các đường dẫn (links) đến những công ty ma. Hiện vẫn chưa rõ có bao nhiêu nạn nhân đã rơi vào bẫy. Mandiant cảnh báo rằng tất cả dữ liệu thu thập được, bao gồm địa chỉ, thông tin liên lạc và các dữ liệu liên quan đến hồ sơ xin việc, vẫn có thể bị lôi ra lợi dụng trong tương lai.