Іранська група BladedFeline атакує Ірак і Курдистан з бекдорами Whisper, Spearal та PrimeCache

Урядові структури Іраку та Курдистанського регіону стали мішенню нової хвилі кібершпигунських атак, які пов’язують із групою BladedFeline — підкластером іранського APT-угруповання OilRig. Мета — довготривалий доступ до дипломатів і держструктур через складну мережу бекдорів та тунелювання.

Компанія ESET пов’язала групу BladedFeline з нещодавніми атаками на чиновників Іраку та КРГ (Курдистанський регіон Іраку). Зокрема, виявлено використання нових шкідливих програм — Whisper, Spearal, Optimizer та Python-імпланта Slippery Snakelet, а також PrimeCache — бекдора у вигляді модуля для сервера IIS.

• Whisper спілкується з хакерами через пошту Microsoft Exchange, Spearal — через DNS-тунелі. Optimizer — оновлена версія Spearal. PrimeCache пасивно чекає на HTTP-запити зі спеціальними cookie, дозволяючи зловмисникам передавати команди і вивантажувати файли.
• BladedFeline також використовує інструменти Laret і Pinar для тунелювання в мережі, а новий артефакт Hawking Listener, завантажений на VirusTotal у березні 2024 року, свідчить про подальше вдосконалення їхніх імплантів.

BladedFeline вперше зафіксована у 2017 році під час атак на KRG, а у 2023–2024 роках активізувалась, використовуючи власні бекдори в урядових мережах Іраку, Азербайджану та навіть телеком-мережах Узбекистану. Ряд їхніх інструментів збігається з тим, що використовує угруповання OilRig, яке вже багато років пов’язують з іранськими структурами.

BladedFeline — це не просто APT-група, а частина державного механізму Ірану з кіберспостереження та контролю регіону. Її фокус на Іраку та Курдистані пояснюється стратегічними інтересами: вплив на політику, дипломатію та доступ до нафтових ресурсів. У сучасному кіберпросторі навіть найдрібніші бекдори стають інструментом глобального тиску.