TIMECAT ਬੈਕਡੋਰ

ਈਰਾਨੀ ਰਾਜ-ਗਠਜੋੜ ਸਮੂਹ APT42 ਨਾਲ ਜੁੜੀ ਜਾਸੂਸੀ ਗਤੀਵਿਧੀ ਦੀ ਇੱਕ ਲਹਿਰ ਸਾਹਮਣੇ ਆਈ ਹੈ, ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਇਸਲਾਮਿਕ ਰੈਵੋਲਿਊਸ਼ਨਰੀ ਗਾਰਡ ਕੋਰ (IRGC) ਦੇ ਹਿੱਤਾਂ ਨਾਲ ਜੁੜੇ ਵਿਅਕਤੀਆਂ ਅਤੇ ਸੰਗਠਨਾਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਕੇਂਦ੍ਰਿਤ ਯਤਨ ਦਾ ਨਿਰੀਖਣ ਕੀਤਾ ਹੈ। ਸਤੰਬਰ 2025 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਅਤੇ ਕੋਡਨੇਮ ਸਪੀਅਰਸਪੈਕਟਰ ਦਿੱਤਾ ਗਿਆ, ਇਹ ਓਪਰੇਸ਼ਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਤਿਆਰ ਕੀਤੇ ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ ਦੇ ਇੱਕ ਸੂਝਵਾਨ ਮਿਸ਼ਰਣ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇੱਕ ਵਿਆਪਕ ਨਿਸ਼ਾਨਾ ਰਣਨੀਤੀ

ਇਸ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਸੰਚਾਲਕਾਂ ਨੇ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸੀਨੀਅਰ ਸਰਕਾਰੀ ਅਤੇ ਰੱਖਿਆ ਅਧਿਕਾਰੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ, ਉਨ੍ਹਾਂ ਨੂੰ ਸ਼ਮੂਲੀਅਤ ਵਿੱਚ ਖਿੱਚਣ ਲਈ ਬਹੁਤ ਹੀ ਵਿਅਕਤੀਗਤ ਪਹੁੰਚਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਪ੍ਰਮੁੱਖ ਕਾਨਫਰੰਸਾਂ ਲਈ ਸੱਦੇ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਮੀਟਿੰਗਾਂ ਦੀਆਂ ਪੇਸ਼ਕਸ਼ਾਂ ਆਮ ਲਾਲਚ ਹਨ। ਇਸ ਗਤੀਵਿਧੀ ਦੀ ਇੱਕ ਪਰਿਭਾਸ਼ਿਤ ਵਿਸ਼ੇਸ਼ਤਾ ਪੀੜਤ ਪੂਲ ਨੂੰ ਪਰਿਵਾਰਕ ਮੈਂਬਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਚੌੜਾ ਕਰਨਾ, ਦਬਾਅ ਵਧਾਉਣਾ ਅਤੇ ਮੁੱਖ ਟੀਚਿਆਂ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਹਮਲੇ ਦੀ ਸਤ੍ਹਾ ਦਾ ਵਿਸਤਾਰ ਕਰਨਾ ਹੈ।

APT42 ਦੀ ਉਤਪਤੀ ਅਤੇ ਵਿਕਾਸ

APT42 ਨੇ 2022 ਦੇ ਅਖੀਰ ਵਿੱਚ ਜਨਤਕ ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਕੀਤਾ, ਜਦੋਂ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇਸਨੂੰ ਕਈ IRGC-ਸਬੰਧਤ ਸਮੂਹਾਂ ਨਾਲ ਜੋੜਿਆ। ਇਹਨਾਂ ਵਿੱਚ APT35, ਚਾਰਮਿੰਗ ਕਿਟਨ, ITG18, ਮਿੰਟ ਸੈਂਡਸਟੋਰਮ, ਅਤੇ TA453 ਵਰਗੇ ਜਾਣੇ-ਪਛਾਣੇ ਕਲੱਸਟਰ ਸ਼ਾਮਲ ਹਨ। ਸਮੂਹ ਦਾ ਸੰਚਾਲਨ ਟ੍ਰੇਡਮਾਰਕ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਚੱਲ ਰਹੇ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਕਾਰਜਾਂ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਦੀ ਯੋਗਤਾ ਹੈ, ਕਈ ਵਾਰ ਹਫ਼ਤਿਆਂ ਤੱਕ ਚੱਲਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਨੁਕਸਾਨਦੇਹ ਪੇਲੋਡ ਜਾਂ ਖਤਰਨਾਕ ਲਿੰਕ ਪ੍ਰਦਾਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਭਰੋਸੇਯੋਗਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਭਰੋਸੇਯੋਗ ਸੰਪਰਕਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ।

ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਜੂਨ 2025 ਵਿੱਚ, ਮਾਹਿਰਾਂ ਨੇ ਇਜ਼ਰਾਈਲੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਤਕਨਾਲੋਜੀ ਪੇਸ਼ੇਵਰਾਂ ਲਈ ਇੱਕ ਹੋਰ ਵੱਡੀ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ। ਉਸ ਮਾਮਲੇ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਨੇ ਈਮੇਲ ਅਤੇ WhatsApp ਸੰਚਾਰ ਦੋਵਾਂ ਵਿੱਚ ਕਾਰਜਕਾਰੀ ਅਤੇ ਖੋਜਕਰਤਾਵਾਂ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ। ਹਾਲਾਂਕਿ ਸੰਬੰਧਿਤ, ਜੂਨ ਦੀ ਗਤੀਵਿਧੀ ਅਤੇ ਸਪੀਅਰਸਪੈਕਟਰ APT42 ਦੇ ਦੋ ਵੱਖ-ਵੱਖ ਅੰਦਰੂਨੀ ਕਲੱਸਟਰਾਂ ਤੋਂ ਪੈਦਾ ਹੁੰਦੇ ਹਨ - ਕਲੱਸਟਰ B ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ, ਜਦੋਂ ਕਿ ਕਲੱਸਟਰ D ਮਾਲਵੇਅਰ-ਸੰਚਾਲਿਤ ਘੁਸਪੈਠਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।

ਵਿਅਕਤੀਗਤ ਧੋਖਾਧੜੀ ਦੀਆਂ ਚਾਲਾਂ

ਸਪੀਅਰਸਪੈਕਟਰ ਦੇ ਮੂਲ ਵਿੱਚ ਇੱਕ ਲਚਕਦਾਰ ਹਮਲੇ ਦੀ ਵਿਧੀ ਹੈ ਜੋ ਟੀਚੇ ਦੇ ਮੁੱਲ ਅਤੇ ਆਪਰੇਟਰਾਂ ਦੇ ਉਦੇਸ਼ਾਂ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਬਣਾਈ ਗਈ ਹੈ। ਕੁਝ ਪੀੜਤਾਂ ਨੂੰ ਨਕਲੀ ਮੀਟਿੰਗ ਪੋਰਟਲਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਪ੍ਰਮਾਣ ਪੱਤਰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਦੂਜਿਆਂ ਨੂੰ ਇੱਕ ਹੋਰ ਦਖਲਅੰਦਾਜ਼ੀ ਪਹੁੰਚ ਦਾ ਸਾਹਮਣਾ ਕਰਨਾ ਪੈਂਦਾ ਹੈ ਜੋ TAMECAT ਨਾਮਕ ਇੱਕ ਨਿਰੰਤਰ ਪਾਵਰਸ਼ੈਲ ਬੈਕਡੋਰ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ, ਇੱਕ ਟੂਲ ਜੋ ਹਾਲ ਹੀ ਦੇ ਸਾਲਾਂ ਵਿੱਚ ਸਮੂਹ ਦੁਆਰਾ ਵਾਰ-ਵਾਰ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਆਮ ਹਮਲੇ ਦੀਆਂ ਲੜੀਵਾਂ WhatsApp 'ਤੇ ਨਕਲ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀਆਂ ਹਨ, ਜਿੱਥੇ ਵਿਰੋਧੀ ਇੱਕ ਖਤਰਨਾਕ ਲਿੰਕ ਨੂੰ ਅੱਗੇ ਭੇਜਦਾ ਹੈ ਜੋ ਆਉਣ ਵਾਲੀ ਸ਼ਮੂਲੀਅਤ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਦਸਤਾਵੇਜ਼ ਹੋਣ ਦਾ ਦਾਅਵਾ ਕਰਦਾ ਹੈ। ਇਸ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਨਾਲ ਇੱਕ ਰੀਡਾਇਰੈਕਟ ਕ੍ਰਮ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜਿਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਇੱਕ WebDAV-ਹੋਸਟਡ LNK ਫਾਈਲ PDF ਦੇ ਰੂਪ ਵਿੱਚ ਡਿਲੀਵਰੀ ਹੁੰਦੀ ਹੈ, ਜੋ ਪੀੜਤ ਨੂੰ ਧੋਖਾ ਦੇਣ ਲਈ search-ms: ਪ੍ਰੋਟੋਕੋਲ ਹੈਂਡਲਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।

ਟੈਮਕੈਟ ਬੈਕਡੋਰ: ਮਾਡਯੂਲਰ, ਸਥਾਈ ਅਤੇ ਅਨੁਕੂਲ

ਇੱਕ ਵਾਰ ਐਗਜ਼ੀਕਿਊਟ ਹੋਣ ਤੋਂ ਬਾਅਦ, LNK ਫਾਈਲ ਇੱਕ ਹਮਲਾਵਰ-ਸੰਚਾਲਿਤ ਕਲਾਉਡਫਲੇਅਰ ਵਰਕਰਜ਼ ਸਬਡੋਮੇਨ ਨਾਲ ਜੁੜਦੀ ਹੈ ਤਾਂ ਜੋ ਇੱਕ ਬੈਚ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਸਕੇ ਜੋ TAMECAT ਨੂੰ ਸਰਗਰਮ ਕਰਦੀ ਹੈ। ਇਹ ਪਾਵਰਸ਼ੈਲ-ਅਧਾਰਿਤ ਫਰੇਮਵਰਕ ਐਕਸਫਿਲਟਰੇਸ਼ਨ, ਨਿਗਰਾਨੀ ਅਤੇ ਰਿਮੋਟ ਪ੍ਰਬੰਧਨ ਦਾ ਸਮਰਥਨ ਕਰਨ ਲਈ ਮਾਡਿਊਲਰ ਕੰਪੋਨੈਂਟਸ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲ HTTPS, ਡਿਸਕਾਰਡ, ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਵਿੱਚ ਫੈਲਦੇ ਹਨ, ਇੱਕ ਐਵੇਨਿਊ ਬੰਦ ਹੋਣ 'ਤੇ ਵੀ ਲਚਕੀਲੇਪਣ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ।

ਟੈਲੀਗ੍ਰਾਮ-ਅਧਾਰਿਤ ਕਾਰਜਾਂ ਲਈ, TAMECAT ਹਮਲਾਵਰਾਂ ਦੇ ਨਿਯੰਤਰਣ ਅਧੀਨ ਇੱਕ ਬੋਟ ਦੁਆਰਾ ਰੀਲੇਅ ਕੀਤੇ ਗਏ PowerShell ਕੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਚਲਾਉਂਦਾ ਹੈ। ਡਿਸਕਾਰਡ-ਅਧਾਰਿਤ C2 ਇੱਕ ਵੈੱਬਹੁੱਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ ਸਿਸਟਮ ਵੇਰਵੇ ਭੇਜਦਾ ਹੈ ਅਤੇ ਇੱਕ ਪੂਰਵ-ਪ੍ਰਭਾਸ਼ਿਤ ਚੈਨਲ ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਕਿ ਕਮਾਂਡਾਂ ਨੂੰ ਪ੍ਰਤੀ ਸੰਕਰਮਿਤ ਹੋਸਟ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਇੱਕ ਸਾਂਝੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੁਆਰਾ ਕਈ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਤਾਲਮੇਲ ਵਾਲੀ ਗਤੀਵਿਧੀ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਡੂੰਘੀ ਜਾਸੂਸੀ ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲੀਆਂ ਯੋਗਤਾਵਾਂ

TAMECAT ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਦੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਸਮੂਹ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚੋਂ:

• ਡਾਟਾ ਇਕੱਠਾ ਕਰਨਾ ਅਤੇ ਕੱਢਣਾ
• ਨਿਰਧਾਰਤ ਐਕਸਟੈਂਸ਼ਨਾਂ ਵਾਲੀਆਂ ਫਾਈਲਾਂ ਦੀ ਕਟਾਈ
• ਗੂਗਲ ਕਰੋਮ, ਮਾਈਕ੍ਰੋਸਾਫਟ ਐਜ, ਅਤੇ ਆਉਟਲੁੱਕ ਮੇਲਬਾਕਸਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰਨਾ
• ਹਰ 15 ਸਕਿੰਟਾਂ ਬਾਅਦ ਲਗਾਤਾਰ ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਨਾ
• HTTPS ਜਾਂ FTP ਰਾਹੀਂ ਇਕੱਠੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ
• ਚੋਰੀ ਅਤੇ ਚੋਰੀ ਦੇ ਉਪਾਅ
• ਟੈਲੀਮੈਟਰੀ ਅਤੇ ਪੇਲੋਡ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨਾ
• ਪਾਵਰਸ਼ੈਲ ਸੋਰਸ ਕੋਡ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨਾ
• ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਨੂੰ ਆਮ ਸਿਸਟਮ ਵਿਵਹਾਰ ਨਾਲ ਮਿਲਾਉਣ ਲਈ ਲਿਵਿੰਗ-ਆਫ-ਦ-ਲੈਂਡ ਬਾਈਨਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨਾ
• ਡਿਸਕ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਨ ਲਈ ਮੁੱਖ ਤੌਰ 'ਤੇ ਮੈਮੋਰੀ ਵਿੱਚ ਚਲਾਉਣਾ

ਇੱਕ ਲਚਕੀਲਾ ਅਤੇ ਛੁਪਿਆ ਹੋਇਆ ਬੁਨਿਆਦੀ ਢਾਂਚਾ

ਸਪੀਅਰਸਪੈਕਟਰ ਦਾ ਸਮਰਥਨ ਕਰਨ ਵਾਲਾ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਜਾਇਜ਼ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਨਾਲ ਮਿਲਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਨੂੰ ਲੁਕਾਇਆ ਜਾ ਸਕੇ। ਇਹ ਹਾਈਬ੍ਰਿਡ ਪਹੁੰਚ ਸਹਿਜ ਸ਼ੁਰੂਆਤੀ ਸਮਝੌਤਾ, ਟਿਕਾਊ C2 ਸੰਚਾਰ, ਅਤੇ ਗੁਪਤ ਡੇਟਾ ਕੱਢਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਸੰਚਾਲਨ ਡਿਜ਼ਾਈਨ ਘੱਟੋ-ਘੱਟ ਐਕਸਪੋਜ਼ਰ ਨੂੰ ਬਣਾਈ ਰੱਖਦੇ ਹੋਏ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਲੰਬੇ ਸਮੇਂ ਦੀ ਘੁਸਪੈਠ 'ਤੇ ਇੱਕ ਧਮਕੀ ਐਕਟਰ ਦੇ ਇਰਾਦੇ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਸਿੱਟਾ

ਸਪੀਅਰਸਪੈਕਟਰ ਮੁਹਿੰਮ APT42 ਦੇ ਜਾਸੂਸੀ ਕਾਰਜਾਂ ਦੇ ਚੱਲ ਰਹੇ ਸੁਧਾਰ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ ਖੁਫੀਆ ਉਦੇਸ਼ਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ ਲੰਬੇ ਸਮੇਂ ਦੇ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ, ਅਨੁਕੂਲ ਮਾਲਵੇਅਰ ਅਤੇ ਮਜ਼ਬੂਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨੂੰ ਜੋੜਦੀ ਹੈ। ਇਸਦੀ ਨਿਰੰਤਰ ਅਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਸ਼ਾਨਾ ਬਣਾਈ ਗਈ ਪ੍ਰਕਿਰਤੀ ਅਧਿਕਾਰੀਆਂ, ਰੱਖਿਆ ਕਰਮਚਾਰੀਆਂ ਅਤੇ ਸੰਬੰਧਿਤ ਵਿਅਕਤੀਆਂ ਨੂੰ ਨਿਰੰਤਰ ਜੋਖਮ ਵਿੱਚ ਪਾਉਂਦੀ ਹੈ, ਜੋ ਸਾਰੇ ਸੰਚਾਰ ਚੈਨਲਾਂ ਵਿੱਚ ਉੱਚ ਚੌਕਸੀ ਅਤੇ ਮਜ਼ਬੂਤ ਸੁਰੱਖਿਆ ਸਫਾਈ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ।