فیلترشکن رایگان یا ابزار جاسوسی؟ دام تازه جاسوسی از کاربران ایرانی
گروه تهدید تگ-۱۸۲ (TAG-182) با انتشار فیلترشکنها و ابزارهای جعلی استارلینک، کاربران داخل ایران و مخالفان جمهوری اسلامی در خارج از کشور را به نصب بدافزار نظارتی مارکیرت (MarkiRAT) ترغیب میکند.


گروهی سایبری که پژوهشگران شرکت رکوردد فیوچر (Recorded Future) آن را با نام تگ-۱۸۲ دنبال میکنند، در ماههای ابتدایی سال ۲۰۲۶ با انتشار فیلترشکنها و نرمافزارهای جعلی، کاربران فارسیزبان داخل ایران و فعالان ایرانی ساکن اروپا و آمریکای شمالی را هدف قرار داده است. فایلهایی که با نامهایی مانند «پیاستوری ویپیان» (Pis2ray VPN)، «یشیکا» (YESHICA) و «وایایام پلیر» (YEMPlayer) منتشر شدهاند، در واقع برای نصب بدافزار جاسوسی مارکیرت روی رایانه قربانی طراحی شدهاند.
این کارزار از نیاز واقعی شهروندان ایرانی به ابزارهای عبور از فیلترینگ و دسترسی به اینترنت آزاد سوءاستفاده میکند. مهاجمان ابزارهای آلوده را بهعنوان فیلترشکن رایگان، پخشکننده ویدئو یا نرمافزاری مرتبط با استارلینک معرفی میکنند؛ محصولاتی که بهویژه هنگام اختلال یا قطع اینترنت میتوانند برای کاربران داخل کشور جذاب باشند.
طعمهای متناسب با شرایط ایران
یکی از مهمترین ویژگیهای این عملیات، فارسیبودن تبلیغات و شناخت دقیق مهاجمان از فضای سیاسی و اجتماعی ایران است. رکوردد فیوچر پستهایی را شناسایی کرده که در آنها نرمافزار پیاستوری کمی پس از قطع دسترسی به «اینترنت بینالملل» تبلیغ شده بود. منتشرکنندگان ادعا میکردند برای کمک به کاربران داخل کشور، دسترسی ویژه و رایگان فراهم کردهاند.
برخی از این تبلیغات در اینستاگرام منتشر و بعداً حذف شدهاند. حسابهای منتشرکننده نیز تلاش میکردند خود را حامی اعتراضات، اینترنت آزاد یا مخالف جمهوری اسلامی نشان دهند. به این ترتیب، قربانی ممکن است لینک آلوده را نه از یک حساب آشکارا مشکوک، بلکه از صفحهای دریافت کند که ظاهراً محتوای سیاسی یا ضدسانسور منتشر میکند.
در این نوع عملیات، دیدگاه سیاسی و نیاز امنیتی کاربر به بخشی از مهندسی اجتماعی تبدیل میشود. مهاجم بهجای شکستن مستقیم قفل دستگاه، کاربر را قانع میکند که فایل را با دست خودش دانلود و اجرا کند.
از فیلترشکن جعلی تا استارلینک تقلبی
پیاستوری یکی از مهمترین نامهای استفادهشده در این کارزار است؛ ابزاری که برخلاف ظاهرش، نرمافزار رسمی شناختهشدهای در فروشگاههای معتبر نیست. مهاجمان همچنین از نامهایی مانند یشیکا، «یشیکا وایای پلیر» (YESHICA YEPlayer) و وایایام پلیر برای معرفی پخشکنندههای ویدئویی جعلی استفاده کردهاند.
در نمونهای دیگر، یک وبسایت نرمافزاری را با نام «استار ویپیان» (Star VPN) و بهعنوان ابزاری مرتبط با استارلینک تبلیغ میکرد. هیچ نشانهای وجود ندارد که این برنامه ارتباطی با شرکت اسپیسایکس (SpaceX) یا سرویس رسمی استارلینک داشته باشد.
بیشتر نمونههای فنی بررسیشده در این گزارش، فایلهای مربوط به ویندوز هستند؛ از جمله نصبکنندههایی با پسوندهای .msi و .exe و فایلهای فشردهشده در قالب .zip و .rar. بنابراین شواهد منتشرشده، بهطور مشخص خطر آلودگی رایانههای ویندوزی را نشان میدهد.
بدافزار چگونه وارد دستگاه میشود؟
زنجیره حمله با یک پست شبکه اجتماعی یا وبسایت جعلی آغاز میشود. کاربر فایل فیلترشکن یا پخشکننده ویدئو را دانلود میکند و پس از اجرای آن، بدافزار مارکیرت روی سیستم فعال میشود. سپس بدافزار با سرورهای تحت کنترل مهاجمان ارتباط برقرار میکند.
برخی از سرورهای این عملیات حتی زمانی که در مرورگر پیام خطا نمایش میدهند، همچنان فایل آلوده را تحویل میدهند. به زبان ساده، دیدن صفحه «پیدا نشد» یا «خطای سرور» الزاماً به این معنی نیست که هیچ فایلی دانلود نشده است.
مارکیرت برای انتقال اطلاعات از ابزار قانونی «سرویس انتقال هوشمند پسزمینه» (Background Intelligent Transfer Service یا BITS) در ویندوز استفاده میکند. این سرویس معمولاً برای دریافت بهروزرسانیها و انتقال فایل در پسزمینه به کار میرود، اما مهاجمان میتوانند از آن برای پنهانکردن ارتباط بدافزار با سرور فرماندهی استفاده کنند.
مارکیرت چه اطلاعاتی را جمعآوری میکند؟
نسخههای پیشین مارکیرت توانایی ثبت کلیدهای فشردهشده، سرقت محتوای حافظه موقت، گرفتن تصویر از صفحه، جابهجایی فایل و اجرای فرمان از راه دور را داشتهاند. این بدافزار همچنین میتوانسته اسناد، تصاویر، کلیدهای رمزنگاری و فایلهای مربوط به مدیریت رمزعبور را جستوجو کند.
پوشههای تلگرام، اسکایپ و وایبر نیز از جمله مسیرهایی بودهاند که نمونههای قدیمی برای یافتن اطلاعات بررسی میکردند. در یک روش قابلتوجه، بدافزار برنامه مدیریت رمزعبور کیپس (KeePass) را میبست تا کاربر مجبور شود رمز اصلی خود را دوباره وارد کند. سپس بدافزار میتوانست این رمز را با ثبت کلیدهای صفحهکلید سرقت کند.
این قابلیتها به نسخههای تاریخی خانواده مارکیرت مربوط هستند و لزوماً همه آنها در نمونههای تازه تأیید نشدهاند؛ بااینحال سابقه این بدافزار نشان میدهد آلودگی به آن میتواند پیامدهای جدی داشته باشد.
ارتباط احتمالی با گروهی قدیمیتر
مارکیرت پیشتر به گروه «فروشیوس کیتن» (Ferocious Kitten) نسبت داده شده بود؛ گروهی که دستکم از سال ۲۰۱۵ کاربران فارسیزبان، فعالان سیاسی و مدافعان حقوق بشر را هدف قرار داده است.
رکوردد فیوچر میان نمونههای جدید و عملیاتهای تاریخی این گروه شباهتهایی پیدا کرده، اما شواهد فعلی برای اثبات اینکه تگ-۱۸۲ و فروشیوس کیتن دقیقاً یک گروه هستند کافی نیست. این شرکت همچنین نتوانسته تگ-۱۸۲ را مستقیماً به سپاه، وزارت اطلاعات یا نهاد امنیتی مشخص دیگری منتسب کند.
ارزیابی پژوهشگران این است که این گروه به احتمال زیاد بخشی از اکوسیستم عملیاتهای سایبری حامی جمهوری اسلامی است؛ اکوسیستمی که شهروندان ایرانی و شبکههای مخالف حکومت را در داخل و خارج از کشور هدف قرار میدهد.
وقتی ابزار دورزدن فیلترینگ به ابزار نظارت تبدیل میشود
خطر اصلی این کارزار در سوءاستفاده از اعتماد کاربران نهفته است. عبارتهایی مانند «ویپیان رایگان برای مردم ایران»، «نسخه ویژه زمان قطعی اینترنت» یا «دسترسی اضطراری به استارلینک» میتوانند بخشی از یک عملیات جاسوسی باشند.
کاربرانی که فایلهایی با نام پیاستوری، یشیکا، وایای پلیر، وایایام پلیر یا استار ویپیان نصب کردهاند، باید احتمال آلودگی را جدی بگیرند. قطع دستگاه از اینترنت، تغییر رمزهای مهم از یک دستگاه سالم، خروج از نشستهای فعال ایمیل و پیامرسانها و بررسی تخصصی ویندوز از اقدامات ضروری است.
گزارش تگ-۱۸۲ بار دیگر نشان میدهد که برای کاربران ایرانی، پرسش اصلی پیش از نصب یک فیلترشکن ناشناس فقط این نیست که «آیا کار میکند؟»؛ بلکه باید پرسید چه کسی آن را ساخته، از کجا منتشر شده و در برابر دسترسی به اینترنت، چه اطلاعاتی از کاربر دریافت میکند.