گربه‌های نه‌چندان ملوس

تحلیل عملیات گروه Charming Kitten وابسته به سپاه پاسداران
گربه‌های نه‌چندان ملوس
تهدید امنیت پیشرفته

در پاییز ۲۰۲۵ مجموعه‌ای گسترده از اسناد و نمونه‌های عملیاتی مرتبط با یک بازیگر تهدید سایبری (APT) ایرانی منتشر شد که به‌سرعت در جامعه امنیت سایبری و رسانه‌ها موجی از واکنش‌ها ایجاد کرد. این مجموعه، که تحت عنوان «CharmingKitten» توسط گروه یا حسابی با اسم KittenBusters منتشر شد، شامل فایل‌های درونی، گزارش‌های روزانه، کدهای منبع، لاگ‌های سرور، و اسکرین‌شات‌های گفتگوهای داخلی می‌شود؛ اسنادی که در مجموع ساختار، روش‌ها و حوزه عمل یک واحد سایبری وابسته به سازمان اطلاعات سپاه پاسداران (IRGC-IO) را آشکار می‌سازند؛ مشهورترین یگان سایبری ایران، دایره ۴۰، واحد ۱۵۰۰ یا آن طور که جهان آن را می‌شناسد: «بچه‌گربه ملوس».

۱. هویت‌سنجی، وابستگی و رهبری گروه

شناسایی دقیق وابستگی و رهبری گروه‌های تهدید دولتی (APT) یک عنصر حیاتی در تحلیل اطلاعات تهدیدات سایبری است. این اطلاعات نه تنها به تعیین منشأ حملات کمک می‌کند، بلکه اهداف استراتژیک و ژئوپلیتیکی نهاد حامی آن‌ها را نیز آشکار می‌سازد. درک ساختار فرماندهی یک گروه به سازمان‌های دفاعی اجازه می‌دهد تا قابلیت‌ها، منابع و مقاصد بلندمدت آن را بهتر ارزیابی کرده و استراتژی‌های مقابله‌ای مؤثرتری را تدوین نمایند.

بر اساس اسناد و گزارش‌های داخلی، گروه تهدید مورد تحلیل با نام "Charming Kitten" شناخته می‌شود. این گروه به طور مستقیم به بخش ضدجاسوسی (واحد ۱۵۰۰) سازمان اطلاعات سپاه پاسداران (IRGC-IO) وابسته است و به طور مشخص تحت نظر "اداره ۴۰" این سازمان فعالیت می‌کند. این وابستگی مستقیم نشان‌دهنده ماهیت دولتی و نظامی عملیات‌های سایبری این گروه است که در راستای اهداف اطلاعاتی و امنیتی جمهوری اسلامی ایران اجرا می‌شود.

رهبری این عملیات بر عهده عباس رهروی، با نام مستعار عباس حسینی، است که به عنوان یک مقام رسمی سپاه پاسداران شناسایی شده است. وی با تأسیس چندین شرکت پوششی، مدیریت این گروه APT را به صورت غیرمستقیم بر عهده داشته و کارزارهای چندمرحله‌ای را علیه اهداف متعدد در خاورمیانه و فراتر از آن هدایت کرده است. نقش او به عنوان یک حلقه واسط میان فرماندهی عالی سپاه و اپراتورهای فنی، بر سازمان‌یافتگی و سطح بالای منابع این گروه تأکید دارد. این ساختار مدیریتی، بررسی دقیق‌تر پرسنل و ساختار داخلی گروه را برای درک کامل زنجیره فرماندهی آن ضروری می‌سازد.

تحلیل ساختار داخلی و شناسایی اعضای یک گروه تهدید پیشرفته، درک عمیق‌تری از مقیاس، سازماندهی و تخصص‌های عملیاتی آن فراهم می‌کند. با شناسایی اپراتورها و نقش‌های آن‌ها، می‌توان به تقسیم کار، تخصص‌های فنی (مانند بهره‌برداری از آسیب‌پذیری، عملیات شبکه یا جمع‌آوری اطلاعات) و اندازه تیم‌های عملیاتی پی برد. این اطلاعات برای مدل‌سازی تهدید و پیش‌بینی اقدامات آینده گروه بسیار ارزشمند است.

بر اساس گزارش‌های کار روزانه، کارتکس‌ها و اسناد داخلی، تعدادی از پرسنل و اپراتورهای فنی گروه Charming Kitten شناسایی شده‌اند. این افراد در تیم‌های مختلفی، از جمله تیم مستقر در کرج، سازماندهی شده و وظایف مشخصی را در چرخه عمر حملات سایبری بر عهده دارند. شناسایی این افراد و تیم‌هایشان، زمینه را برای تحلیل دقیق‌تر تاکتیک‌ها، تکنیک‌ها و رویه‌هایی که در عملیات‌های خود به کار می‌گیرند، فراهم می‌کند.

۲. تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs)

درک تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) یک گروه APT، مؤلفه اصلی در تحلیل قابلیت‌های فنی و سطح پیچیدگی آن است. با بررسی چرخه حیات حمله (Cyber Kill Chain) گروه Charming Kitten—از مرحله شناسایی اولیه تا بهره‌برداری و اقدامات پس از نفوذ—می‌توان الگوهای رفتاری، ابزارهای مورد علاقه و آسیب‌پذیری‌های هدف را شناسایی کرد. این تحلیل به سازمان‌ها کمک می‌کند تا دفاع خود را به صورت پیشگیرانه تقویت کرده و شاخص‌های نفوذ (Indicators of Compromise) مرتبط با این گروه را شناسایی نمایند.

۲.۱. شناسایی و جمع‌آوری اطلاعات (OSINT)

گروه Charming Kitten در فاز اولیه عملیات، به طور گسترده از تکنیک‌های جمع‌آوری اطلاعات از منابع آشکار (OSINT) برای شناسایی اهداف بالقوه و یافتن زیرساخت‌های آسیب‌پذیر استفاده می‌کند. اپراتورهای این گروه با استفاده از موتورهای جستجوی امنیتی و ابزارهای تخصصی، اقدام به پویش دامنه‌ها و آدرس‌های IP در کشورهای هدف کرده و اطلاعات لازم برای مراحل بعدی حمله را گردآوری می‌نمایند. گزارش‌های روزانه اعضای تیم نشان‌دهنده استفاده سیستماتیک از ابزارهای زیر برای این منظور است:

theHarvester

spadefoot

Shodan

Censys

ZoomEye

Fofa

Hunter.io

این شناسایی سیستماتیک به گروه اجازه می‌دهد تا فهرستی از اهداف دارای سرویس‌های آسیب‌پذیر و قابل دسترس از اینترنت تهیه کند که مستقیماً فاز دسترسی اولیه عملیات‌های آن‌ها را تغذیه می‌کند.

۲.۲. تکنیک‌های دسترسی اولیه

گروه با بهره‌گیری از یافته‌های OSINT خود، رویکردی چندوجهی و فرصت‌طلبانه برای دستیابی به نفوذ اولیه اتخاذ کرده و به طور همزمان از چندین بردار حمله استفاده می‌کند. این استراتژی به آن‌ها اجازه می‌دهد تا از طیف وسیعی از ضعف‌های امنیتی، از آسیب‌پذیری‌های نرم‌افزاری گرفته تا خطاهای انسانی، بهره‌برداری کنند.

مهم‌ترین روش‌های مورد استفاده این گروه برای کسب دسترسی اولیه به شرح زیر است:

۱) بهره‌برداری از آسیب‌پذیری‌ها: Charming Kitten به صورت فعال آسیب‌پذیری‌های جدید و شناخته‌شده در نرم‌افزارهای پرکاربرد را رصد و از آن‌ها برای نفوذ به شبکه‌های هدف بهره‌برداری می‌کند. گزارش‌های فنی و ماهانه نشان می‌دهد که این گروه به طور خاص بر روی «آسیب‌پذیری‌های روز n» تمرکز داشته است؛ حفره‌های امنیتی که شناخته‌شده هستند اما اپراتورهای اهداف، با بی‌دقیتی و عدم به‌روز رسانی، همچنان راه‌را برای هکر‌ها باز گذاشته‌اند.

۲) عملیات فیشینگ: این گروه از تکنیک‌های فیشینگ برای سرقت اطلاعات ورود کاربران، به ویژه حساب‌های Gmail، استفاده می‌کند. بر اساس مستندات آموزشی داخلی، فرآیند حمله شامل مراحل زیر است:

  • راه‌اندازی سرور: اپراتورها یک سرور را با استفاده از ابزارهای اختصاصی فیشینگ پیکربندی می‌کنند.
  • ایجاد لینک فیشینگ: یک لینک فریبنده ایجاد می‌شود که قربانی را به یک صفحه ورود جعلی Gmail هدایت می‌کند.
  • دور زدن مکانیزم‌های امنیتی: با توجه به حساسیت گوگل نسبت به تغییر آدرس IP در زمان ورود، اپراتور از یک پروکسی SOCKS استفاده می‌کند تا آدرس IP مرورگر خود را با آدرس IP سروری که قبلاً به حساب قربانی وارد شده، یکسان سازد. این تکنیک باعث می‌شود که تلاش برای ورود به حساب از دید مکانیزم‌های امنیتی گوگل مشروع به نظر برسد و از فعال‌شدن هشدارهای امنیتی جلوگیری کند. پس از ورود موفقیت‌آمیز قربانی به صفحه جعلی، اطلاعات ورود او ذخیره شده و مهاجم به حساب دسترسی پیدا می‌کند.

۳) تزریق SQL: حمله به وب‌سایت‌ها از طریق آسیب‌پذیری تزریق SQL یکی دیگر از روش‌های مؤثر این گروه است. به عنوان یک نمونه موفق، گروه با استفاده از ابزار sqlmap به وب‌سایت rewards.roshan.af، متعلق به شرکت مخابراتی روشن در افغانستان، حمله کرد. لاگ‌های این حمله نشان می‌دهد که اپراتورها با موفقیت آسیب‌پذیری SQL را شناسایی کرده و از آن برای استخراج اطلاعات حساس پایگاه داده، شامل ساختار جداول (مانند LOYALTY_USER) و اطلاعات کاربران، بهره‌برداری نموده‌اند.

۲.۳. اقدامات پس از نفوذ

پس از کسب دسترسی اولیه، اهداف اصلی گروه Charming Kitten شامل حفظ دسترسی پایدار، حرکت در شبکه داخلی هدف و استخراج داده‌های ارزشمند است. این اقدامات نشان‌دهنده اهداف نهایی عملیات، یعنی جاسوسی و جمع‌آوری اطلاعات بلندمدت است. فعالیت‌های کلیدی پس از نفوذ این گروه به شرح زیر است:

ایجاد ماندگاری (Persistence): اپراتورها برای حفظ دسترسی خود به سیستم‌های هک‌شده، از تکنیک‌های مختلفی استفاده می‌کنند. این تکنیک‌ها شامل ویرایش فایل‌های اصلی وب‌سایت مانند index.php برای اجرای دستورات مخرب و همچنین ایجاد و تغییر مشخصات (مانند زمان و مالکیت) وب‌شل‌ها (WebShells) برای جلوگیری از شناسایی است.

حرکت جانبی (Lateral Movement): پس از نفوذ به یک سیستم در محیط هدف، گروه از ابزارهایی مانند تونل‌های وب (Web Tunnel) برای حرکت در شبکه داخلی و دسترسی به سایر سیستم‌ها و سرورهایی که به صورت مستقیم از اینترنت قابل دسترس نیستند، استفاده می‌کند.

استخراج داده (Data Exfiltration): هدف نهایی بسیاری از عملیات‌های این گروه، استخراج داده‌های حساس است. موارد مستند شامل استخراج لیست‌های ایمیل از دامنه‌هایی مانند etisalcom.com (شرکت مخابراتی بحرینی Etisalcom) و carstarab.ca (شرکت کانادایی خدمات خودرو Carstar) و همچنین استخراج کامل داده‌های مشتریان و اطلاعات زیرساخت شبکه از شرکت حقوقی iblaw در اردن است. این داده‌ها شامل اطلاعات مشتریان بزرگی چون مایکروسافت و USAID نیز بوده است.

این اقدامات هدفمند نشان‌دهنده تمرکز گروه بر اهداف استراتژیک و قربانیانی است که اطلاعات آن‌ها برای نهاد حامی این گروه ارزش بالایی دارد.

۳. تحلیل اهداف و کمپین‌ها

تحلیل اهداف یک گروه تهدید دولتی، دیدگاه روشنی از اولویت‌ها و اهداف ژئوپلیتیکی و استراتژیک نهاد حامی آن ارائه می‌دهد. انتخاب قربانیان در بخش‌های صنعتی و مناطق جغرافیایی خاص، نشان‌دهنده تمرکز عملیات‌های اطلاعاتی بر حوزه‌هایی است که برای دولت ایران اهمیت راهبردی دارند.

۳.۱. تمرکز جغرافیایی و بخشی

عملیات‌های گروه Charming Kitten عمدتاً بر روی کشورهای خاورمیانه و همسایگان ایران متمرکز است. این تمرکز جغرافیایی با منافع استراتژیک و امنیتی جمهوری اسلامی ایران همسویی دارد. کشورهای هدف اصلی عبارتند از:

  • اردن
  • اسرائیل
  • امارات متحده عربی
  • ترکیه
  • افغانستان
  • عربستان سعودی
  • قطر
  • کویت

از نظر بخشی، اهداف این گروه بسیار متنوع بوده و شامل زیرساخت‌های حیاتی و سازمان‌های کلیدی می‌شود. این تنوع نشان‌دهنده تلاش برای جمع‌آوری اطلاعات در حوزه‌های مختلف اقتصادی، دولتی و امنیتی است. بخش‌های صنعتی هدف عبارتند از:

  • شرکت‌های مخابراتی (برای نظارت بر ارتباطات و جمع‌آوری اطلاعات سیگنالی)
  • شرکت‌های هواپیمایی (برای ردیابی و نظارت بر شخصیت‌های مهم)
  • سازمان‌های اطلاعاتی (برای عملیات‌های ضدجاسوسی و کسب برتری اطلاعاتی)
  • نهادهای دولتی (مانند وزارت دادگستری اردن، برای درک فرآیندهای حکومتی و دسترسی به داده‌های حساس شهروندان)
  • شرکت‌های حقوقی (برای دسترسی به اطلاعات حساس مشتریان دولتی و بین‌المللی و بهره‌برداری در زنجیره تأمین)
  • مخالفان حکومت ایران (برای سرکوب و نظارت بر فعالیت‌های مخالفان در داخل و خارج از کشور)

۳.۲. مطالعه موردی: بهره‌برداری گسترده از آسیب‌پذیری‌های ConnectWise و Ivanti

این گروه توانایی بالایی در بهره‌برداری سریع و گسترده از آسیب‌پذیری‌های تازه افشاشده در نرم‌افزارهای مدیریتی و امنیتی دارد. در یک کمپین بزرگ، اپراتورها از آسیب‌پذیری‌های حیاتی در نرم‌افزارهای ConnectWise (CVE-2024-1709) و Ivanti برای نفوذ به سازمان‌های مختلف استفاده کردند.

در این کمپین، گروه به صورت گسترده سرورهای آسیب‌پذیر را در کشورهای اسرائیل، عربستان سعودی، امارات، ترکیه و اردن پویش کرد. گزارش‌های فنی نشان می‌دهد که این حملات در مواردی موفقیت‌آمیز بوده است. به عنوان مثال، گروه با بهره‌برداری از آسیب‌پذیری ConnectWise موفق به نفوذ به سیستم‌های شرکت‌هایی مانند compuall.co.il و benni.co.il در اسرائیل شد و به داده‌های حساس آن‌ها، از جمله اطلاعات ذخیره‌شده در مرورگرها و فایل‌های داخلی، دسترسی پیدا کرد. این عملیات‌ها نشان‌دهنده رویکرد فرصت‌طلبانه و توانایی فنی گروه در اجرای حملات زنجیره تأمین در مقیاس وسیع است. مقیاس و سرعت این کمپین‌ها نتیجه مستقیم تسلط گروه بر ابزارها و زیرساخت‌های عملیاتی آن است که در ادامه به تفصیل بررسی می‌شوند.

۴. ابزارها و زیرساخت‌های عملیاتی

ابزارخانه (Toolset) گروه Charming Kitten رویکردی عمل‌گرایانه و کارآمد را به نمایش می‌گذارد که ابزارهای متن‌باز و در دسترس عموم مانند sqlmap و Metasploit را برای وظایف رایج با بدافزارهای سفارشی مانند BellaCiao برای نیازهای تخصصی‌تر پس از نفوذ ترکیب می‌کند. این ترکیب نشان‌دهنده تمرکز بر مقیاس‌پذیری عملیاتی و کارایی منابع است. شناسایی این ابزارها برای درک قابلیت‌های فنی و ایجاد دفاع پیشگیرانه حیاتی است.

علاوه بر ابزارهای فنی، این گروه از زیرساخت‌های پوششی برای پیشبرد اهداف خود استفاده می‌کند. یک نمونه بارز، وب‌سایت AMEEN ALKHALIJ است. این وب‌سایت که ظاهراً یک پلتفرم کاریابی بوده، در واقع برای جذب نیرو از میان کارمندان سابق دولت و نیروهای امنیتی امارات متحده عربی طراحی شده بود تا از این طریق به اطلاعات حساس دسترسی پیدا کند. این رویکرد نشان‌دهنده استفاده از مهندسی اجتماعی در سطح سازمانی برای تسهیل عملیات‌های اطلاعاتی است. تحلیل این زیرساخت‌ها و ابزارها به جمع‌بندی نهایی یافته‌های این گزارش کمک می‌کند.

۵. نتیجه‌گیری

این تحلیل، تصویری جامع از هویت، ساختار، تاکتیک‌ها و اهداف استراتژیک گروه تهدید پیشرفته Charming Kitten ارائه می‌دهد. بررسی اسناد و گزارش‌های داخلی این گروه، شواهد انکارناپذیری از ماهیت و عملکرد آن به دست می‌دهد که درک ما را از این بازیگر تهدید دولتی عمیق‌تر می‌سازد.

مهم‌ترین یافته‌های این گزارش نشان می‌دهد که Charming Kitten یک گروه سازمان‌یافته با وابستگی مستقیم به نهادهای دولتی ایران است که کارزارهای چندمرحله‌ای را با اهداف استراتژیک مشخص اجرا می‌کند. وابستگی دولتی این گروه به بخش ضدجاسوسی سازمان اطلاعات سپاه پاسداران، ارتباط مستقیم و اثبات‌شده‌ای است که نشان می‌دهد فعالیت‌های آن در راستای اهداف کلان امنیتی و اطلاعاتی جمهوری اسلامی ایران قرار دارد. پیچیدگی عملیاتی گروه در استفاده از طیف گسترده‌ای از TTPs، از جمله بهره‌برداری سریع از آسیب‌پذیری‌های حیاتی تازه افشاشده، حملات فیشینگ هدفمند، و حملات زنجیره تأمین، مشهود است. در نهایت، اهداف استراتژیک این گروه که بر روی نهادهای دولتی، نظامی، و اقتصادی در خاورمیانه و همچنین تعقیب مخالفان سیاسی متمرکز است، به وضوح همسویی کامل آن با مقاصد ژئوپلیتیکی ایران در منطقه را به نمایش می‌گذارد. این یافته‌ها بر اهمیت رصد مستمر فعالیت‌های Charming Kitten به عنوان یک تهدید جدی و پایدار در چشم‌انداز امنیت سایبری جهانی تأکید می‌کند.