TIMECAT बैकडोर

ईरानी सरकार से संबद्ध समूह APT42 से जुड़ी जासूसी गतिविधियों की एक लहर सामने आई है, और विश्लेषकों का मानना है कि इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स (IRGC) के हितों से जुड़े व्यक्तियों और संगठनों के खिलाफ एक केंद्रित प्रयास किया जा रहा है। सितंबर 2025 की शुरुआत में पता चला और इसे स्पीयरस्पेक्टर कोडनेम दिया गया, यह ऑपरेशन सोशल इंजीनियरिंग और खुफिया जानकारी जुटाने के उद्देश्य से तैयार किए गए मैलवेयर तैनाती के एक परिष्कृत मिश्रण को दर्शाता है।

एक विस्तृत लक्ष्यीकरण रणनीति

इस अभियान के पीछे के संचालकों ने सीधे तौर पर वरिष्ठ सरकारी और रक्षा अधिकारियों को निशाना बनाया है, और उन्हें अपनी ओर खींचने के लिए बेहद व्यक्तिगत तरीकों का इस्तेमाल किया है। प्रमुख सम्मेलनों के निमंत्रण और प्रभावशाली बैठकों के प्रस्ताव आम तौर पर लुभाने के लिए इस्तेमाल किए जाते हैं। इस गतिविधि की एक खासियत यह है कि इसमें पीड़ितों की संख्या बढ़ाकर उनके परिवार के सदस्यों को भी शामिल किया जाता है, दबाव बढ़ाया जाता है और प्राथमिक लक्ष्यों के इर्द-गिर्द हमले की सतह का विस्तार किया जाता है।

APT42 की उत्पत्ति और विकास

APT42 2022 के अंत में सार्वजनिक रिपोर्टिंग में आया, जब शोधकर्ताओं ने इसे IRGC से जुड़े कई समूहों से जोड़ा। इनमें APT35, चार्मिंग किटन, ITG18, मिंट सैंडस्टॉर्म और TA453 जैसे जाने-माने समूह शामिल हैं। इस समूह की खासियत यह है कि यह लंबे समय तक चलने वाले सोशल इंजीनियरिंग ऑपरेशनों को जारी रखने में सक्षम है, जो कभी-कभी हफ़्तों तक चलते हैं, और साथ ही हानिकारक पेलोड या दुर्भावनापूर्ण लिंक भेजने से पहले विश्वसनीयता हासिल करने के लिए विश्वसनीय संपर्कों का रूप धारण करता है।

इससे पहले जून 2025 में, विशेषज्ञों ने इज़राइली साइबर सुरक्षा और तकनीकी पेशेवरों को निशाना बनाकर किए गए एक और बड़े अभियान का पर्दाफ़ाश किया था। उस मामले में, हमलावर ईमेल और व्हाट्सएप संचार दोनों में अधिकारियों और शोधकर्ताओं के रूप में पेश आ रहे थे। हालाँकि जून की गतिविधि और स्पीयरस्पेक्टर एक-दूसरे से जुड़े हुए थे, फिर भी APT42 के दो अलग-अलग आंतरिक समूहों से निकले थे—क्लस्टर B क्रेडेंशियल चोरी पर केंद्रित था, जबकि क्लस्टर D मैलवेयर-जनित घुसपैठ पर केंद्रित था।

व्यक्तिगत धोखे की रणनीति

स्पीयरस्पेक्टर के मूल में एक लचीली हमले की कार्यप्रणाली निहित है जो लक्ष्य के मूल्य और संचालकों के उद्देश्यों के इर्द-गिर्द घूमती है। कुछ पीड़ितों को क्रेडेंशियल्स हासिल करने के लिए डिज़ाइन किए गए नकली मीटिंग पोर्टल्स पर भेज दिया जाता है। अन्य लोगों को एक अधिक घुसपैठिया दृष्टिकोण का सामना करना पड़ता है जो TAMECAT नामक एक स्थायी पावरशेल बैकडोर प्रदान करता है, एक ऐसा टूल जिसका समूह हाल के वर्षों में बार-बार उपयोग करता रहा है।

आम हमले की श्रृंखलाएँ व्हाट्सएप पर छद्म नाम से शुरू होती हैं, जहाँ दुश्मन एक दुर्भावनापूर्ण लिंक को आगे भेजता है जो किसी आगामी कार्य के लिए आवश्यक दस्तावेज़ होने का दावा करता है। इस पर क्लिक करने से एक रीडायरेक्ट अनुक्रम शुरू होता है जिसके परिणामस्वरूप एक WebDAV-होस्टेड LNK फ़ाइल, जो PDF के रूप में प्रच्छन्न होती है, पीड़ित को धोखा देने के लिए search-ms: प्रोटोकॉल हैंडलर का लाभ उठाती है।

TAMECAT बैकडोर: मॉड्यूलर, स्थायी और अनुकूली

एक बार निष्पादित होने के बाद, LNK फ़ाइल एक हमलावर द्वारा संचालित क्लाउडफ्लेयर वर्कर्स सबडोमेन से जुड़कर एक बैच स्क्रिप्ट प्राप्त करती है जो TAMECAT को सक्रिय करती है। यह पावरशेल-आधारित फ्रेमवर्क एक्सफ़िल्टरेशन, निगरानी और दूरस्थ प्रबंधन का समर्थन करने के लिए मॉड्यूलर घटकों का उपयोग करता है। इसके कमांड-एंड-कंट्रोल (C2) चैनल HTTPS, डिस्कॉर्ड और टेलीग्राम तक फैले हुए हैं, जो एक माध्यम के बंद होने पर भी लचीलापन सुनिश्चित करते हैं।

टेलीग्राम-आधारित संचालनों के लिए, TAMECAT हमलावरों के नियंत्रण में एक बॉट द्वारा प्रेषित पावरशेल कोड को पुनः प्राप्त और निष्पादित करता है। डिस्कॉर्ड-आधारित C2 एक वेबहुक का उपयोग करता है जो सिस्टम विवरण भेजता है और एक पूर्वनिर्धारित चैनल से कमांड प्राप्त करता है। विश्लेषण से पता चलता है कि कमांड को संक्रमित होस्ट के अनुसार अनुकूलित किया जा सकता है, जिससे एक साझा बुनियादी ढाँचे के माध्यम से कई लक्ष्यों के विरुद्ध समन्वित गतिविधि संभव हो सके।

गहन जासूसी का समर्थन करने वाली क्षमताएँ

TAMECAT खुफिया जानकारी जुटाने की कई सुविधाएँ प्रदान करता है। इनमें शामिल हैं:

• डेटा संग्रह और निष्कर्षण
• निर्दिष्ट एक्सटेंशन वाली फ़ाइलों का संग्रहण
• Google Chrome, Microsoft Edge और Outlook मेलबॉक्स से डेटा निकालना
• हर 15 सेकंड में लगातार स्क्रीनशॉट लेना
• HTTPS या FTP के माध्यम से एकत्रित जानकारी को बाहर निकालना
• चुपके और चोरी के उपाय
• टेलीमेट्री और पेलोड को एन्क्रिप्ट करना
• PowerShell स्रोत कोड को अस्पष्ट करना
• सामान्य सिस्टम व्यवहार के साथ दुर्भावनापूर्ण कार्यों को मिश्रित करने के लिए लिविंग-ऑफ-द-लैंड बाइनरी का उपयोग करना
• डिस्क आर्टिफैक्ट्स को न्यूनतम करने के लिए मुख्य रूप से मेमोरी में निष्पादित करना

एक लचीला और छुपा हुआ बुनियादी ढांचा

स्पीयरस्पेक्टर का समर्थन करने वाला बुनियादी ढाँचा हमलावर-नियंत्रित प्रणालियों को वैध क्लाउड सेवाओं के साथ मिलाकर दुर्भावनापूर्ण गतिविधि को छिपाता है। यह हाइब्रिड दृष्टिकोण निर्बाध प्रारंभिक समझौता, टिकाऊ C2 संचार और गुप्त डेटा निष्कर्षण की अनुमति देता है। परिचालन डिज़ाइन एक ऐसे ख़तरा पैदा करने वाले को दर्शाता है जो न्यूनतम जोखिम बनाए रखते हुए उच्च-मूल्य वाले नेटवर्क में दीर्घकालिक घुसपैठ करने पर आमादा है।

निष्कर्ष

स्पीयरस्पेक्टर अभियान, एपीटी42 के जासूसी अभियानों के निरंतर सुधार को रेखांकित करता है, जिसमें दीर्घकालिक सामाजिक इंजीनियरिंग, अनुकूली मैलवेयर और मज़बूत बुनियादी ढाँचे का संयोजन करके ख़ुफ़िया उद्देश्यों को आगे बढ़ाया जा रहा है। इसकी निरंतर और अत्यधिक लक्षित प्रकृति अधिकारियों, रक्षा कर्मियों और संबद्ध व्यक्तियों को निरंतर जोखिम में डालती है, जिससे सभी संचार माध्यमों में अत्यधिक सतर्कता और मज़बूत सुरक्षा स्वच्छता की आवश्यकता पर बल मिलता है।