Іранські хакери атакували провідного південнокорейського виробника електроніки

Як іранським хакерам вдалося непомітно проникнути в мережу?

Іранське хакерське угруповання MuddyWater, також відоме під назвами Seedworm, Static Kitten та Temp Zagros, провело широку кампанію кібершпигунства, націлену на високотехнологічні сектори по всьому світу. За даними Bleeping Computer, зловмисники провели цілий тиждень усередині мережі "великого південнокорейського виробника електроніки" в період з 20 по 27 лютого 2026 року, проте жоден звіт не називає, хто саме це був – Samsung чи якась інша компанія.

Ця атака стала частиною масштабнішої операції, жертвами якої стали урядові установи, міжнародний аеропорт на Близькому Сході, промислові підприємства в Південно-Східній Азії, фінансові установи в Латинській Америці та освітні заклади в різних країнах.

Експерти кібербезпекової компанії Symantec вважають, що угруповання Seedworm тісно пов'язане з Міністерством розвідки та безпеки Ірану. Основною метою зловмисників була крадіжка промислової та інтелектуальної власності, державне шпигунство, а також отримання доступу до списку клієнтів. Кожна з цілей могла володіти матеріалами, що мають розвідувальну цінність для Тегерана.

Методи, які використовували хакери, свідчать про суттєве зростання їхньої професійної майстерності.

Нападники послідовно скидали пари файлів, що складалися з легітимного, підписаного виконуваного файлу третьої сторони та шкідливої бібліотеки DLL, розробленої для завантаження цим файлом,
– прокоментували дослідники Symantec.

Ця техніка, відома як заміна динамічних бібліотек (DLL sideloading), дозволяла зловмисникам маскувати шкідливу активність під виглядом роботи надійного програмного забезпечення.

Зокрема, хакери використовували утиліту Fortemedia fmapp.exe та компонент антивірусного захисту SentinelOne sentinelmemoryscanner.exe.

Використання бінарного файлу продукту безпеки – це свідомий вибір, спрямований як на обхід детектування за шляхами або підписами, так і на те, щоб заплутати аналіз,
– додали в Symantec.

Шкідливі бібліотеки містили інструмент ChromElevator, призначений для викрадення паролів, файлів cookie та даних платіжних карток із браузерів на базі Chromium.

Як здійснили атаку?

• Процес атаки на південнокорейську компанію розпочався з розвідки домену та хоста, після чого хакери за допомогою інструментарію WMI перевірили наявність антивірусних засобів.
• Для закріплення в системі вони вносили зміни до реєстру Windows, що забезпечувало повторний запуск шкідливого коду при кожному вході користувача в систему.
• Зв'язок із командним сервером відбувався автоматично кожні 90 секунд.

Для викрадення облікових даних використовувалися підроблені вікна запиту пароля Windows та інструменти для зчитування файлів реєстру SAM, SECURITY та SYSTEM. Крім того, хакери застосовували спеціалізоване програмне забезпечення для підвищення привілеїв та перехоплення квитків Kerberos без знання паролів адміністраторів.

Особливістю цієї кампанії стало використання Node.js для координації дій замість прямого використання PowerShell, що робило атаку тихішою та складнішою для виявлення. Для виведення вкрадених даних зловмисники використовували публічний сервіс обміну файлами sendit.sh. Це дозволяло змішувати шпигунський трафік із звичайним користувацьким трафіком хмарних сервісів.

Які висновки роблять дослідники

На думку аналітиків, розширення географії атак і використання складніших інструментів вказує на те, що розвідувальні потреби Ірану зросли, а саме угруповання Seedworm перейшло до "більш дисциплінованих та прихованих операцій".

Активність на початку 2026 року відбувалася на тлі напруженості навколо ядерної програми Ірану та регіональних конфліктів.

Вам також буде цікаво дізнатися: хто такі Seedworm, чим вони відомі та як працюють

Хакерське угруповання Seedworm, також відоме під назвами APT34, OilRig або Helix Kitten, вважається однією з найвідоміших іранських кібершпигунських груп. Фахівці з кібербезпеки пов'язують її з іранськими державними структурами, зокрема зі спецслужбами та Корпусом вартових Ісламської революції.

Групу почали активно відстежувати приблизно з 2014 року, хоча окремі операції могли проводитися й раніше. Seedworm спеціалізується передусім на кібершпигунстві, викраденні даних, проникненні в корпоративні мережі та довготривалому прихованому доступі до систем.

Основними цілями Seedworm ставали урядові структури, енергетичні компанії, телекомунікаційні оператори, оборонні підприємства, банки та інфраструктурні організації на Близькому Сході, у США та Європі. Особливо часто атаки спрямовувалися проти Саудівської Аравії, Об'єднаних Арабських Еміратів, Ізраїлю та американських організацій.

Експерти з кібербезпеки неодноразово повідомляли, що група активно використовує фішингові листи, підроблені сторінки входу, викрадення облікових даних та шкідливе програмне забезпечення для проникнення в мережі жертв, пише CSIS.

Seedworm відома тим, що адаптує інструменти під конкретні цілі. У різних кампаніях група використовувала бекдори, PowerShell-скрипти, шкідливі документи Microsoft Office та підроблені VPN-сторінки. Часто атаки будувалися навколо соціальної інженерії – співробітників компаній змушували самостійно передавати паролі або відкривати заражені файли. Дослідники кібербезпеки вважають, що головною метою угруповання є шпигунство, збір розвідданих та геополітичний вплив.

Іран і хакери: як країна аятолл тероризує весь світ

Іранська хакерська активність загалом почала різко зростати після 2010 року, як проаналізував 24 Канал. Одним із ключових моментів стала атака вірусу Stuxnet на іранські ядерні об'єкти. Ця операція, яку пов'язують зі США та Ізраїлем, фактично стала переломним моментом для кіберстратегії Тегерана. Після цього Іран почав активно інвестувати у власні кіберпідрозділи, створювати мережу пов'язаних угруповань і розширювати цифрові можливості.

Сьогодні Іран вважається однією з найактивніших держав у сфері кібервійн. Іранські групи регулярно атакують урядові системи, промислову інфраструктуру, енергетичні об'єкти, водопостачання та телекомунікації. В останні роки особливу увагу приділяють критичній інфраструктурі. Наприклад, аналітики CSIS описували атаки пов'язаних з Іраном хакерів на американські системи водопостачання та промислові контролери PLC.

Головні угруповання

Крім Seedworm, із Тегераном пов'язують і низку інших угруповань – Charming Kitten, MuddyWater, CyberAv3ngers та Infy. Частина з них займається шпигунством, частина – деструктивними операціями, а деякі діють під виглядом "хактивістів", щоб приховати державний слід. Аналітики вважають, що Іран активно використовує модель проксі-груп – формально незалежних хакерів, які фактично працюють в інтересах держави.

Цілі хакерів

Основні цілі Ірану в кіберпросторі – політичний тиск, шпигунство, відповідь на санкції, боротьба з Ізраїлем та США, а також демонстрація сили. Через кібератаки Тегеран отримує відносно дешевий спосіб впливати на суперників без прямої військової ескалації. Крім того, хакерські операції дозволяють збирати стратегічну інформацію та завдавати економічної шкоди.

Які компанії Південної Кореї могли стати ціллю Ірану?

Звіт Symantec не вказує на конкретну компанію, яка постраждала у Південній Кореї. Проте ми маємо підказку: це виробник електроніки, якого аналітики називають "великим", помітив 24 Канал. З огляду на це, ми можемо робити певні припущення, адже Південна Корея сьогодні є одним із центрів світового виробництва мікросхем, дисплеїв, смартфонів і побутової техніки.

• Найбільшим виробником електроніки країни є Samsung Electronics. Компанія займається виробництвом смартфонів, телевізорів, дисплеїв, пам'яті DRAM і NAND, процесорів, сенсорів та побутової техніки. Samsung також є одним із найбільших виробників напівпровідників у світі.
• Ще одним гігантом є LG Electronics. Компанія спеціалізується на телевізорах, OLED-дисплеях, побутовій техніці, автомобільній електроніці та системах кондиціонування. LG також активно працює в галузі дисплейних технологій через LG Display.
• Ключовим виробником пам'яті та ШІ-чипів є SK Hynix. Компанія є одним із найбільших у світі виробників DRAM і HBM-пам'яті, яка використовується в системах штучного інтелекту та серверах NVIDIA. Останніми роками SK Hynix різко посилила позиції завдяки буму ШІ-індустрії.

NORDIS – бренд зі Скандинавії, який розробляє сучасні системи опалення та охолодження з акцентом на якість та енергозберігаючі технології. Сучасний дизайн, тиха робота та просте керування забезпечують комфорт у щоденному використанні – незалежно від пори року.