דו״ח חדש של גוגל שפורסם אמש (ד') קובע כי יחידת סייבר הקשורה לאיראן תחת השם ״APT42״ תקפה בכירים לשעבר בצה״ל ומנהל בכיר ״בתחום התעופה וחלל״. השיטה בה השתמשו ההאקרים פשוטה ומוכרת, הם שלחו מיילים בשם עיתונאים המבקשים תגובה על התקיפות האוויריות האחרונות בעזה. בנוסף ההאקרים של היחידה התחזו לחוקרים אמיתיים במכון המחקר האמריקאי הידוע ברוקינגס ומכון וושינגטון למדיניות המזרח התיכון כדי לנסות לפרוץ לדיפלומטים ישראלים, אקדמאים, ארגונים לא ממשלתיים וגופים פוליטיים.
״המיילים נשלחו מחשבונות מייל אצל מגוון ספקי שירותי מייל, ולא הכילו תוכן זדוני". לפי גוגל, ההאקרים גם השתמשו בעצומות מזויפות מארגונים אמיתיים כדי לבצע התקפות פישינג. אחת מהם הייתה כביכול של הסוכנות היהודית שקראה לממשלת ישראל להיענות מיידית להצעה הקטארית להפסקת אש.
לפי הדו״ח, ארה״ב וישראל היו המטרות המרכזיות של יחידת הסייבר האיראנית וכי הם ניסו לכוון גם לחשבונות הדוא"ל האישיים של ״בערך תריסר" אנשים הקשורים לקמפיינים של טראמפ וביידן, כולל פקידי ממשל ארה"ב בהווה ובעבר.
"APT42 הם איום מתוחכם ומתמשך ולא מראים סימנים להפסקת הניסיונות שלהם למקד משתמשים ולהשתמש בטקטיקות חדשות", לפי גוגל. "באביב והקיץ האחרון הם הראו את היכולת לנהל מסעות פישינג רבים בו-זמנית, במיוחד עם התמקדות בישראל וארה"ב. ככל שהעוינות בין איראן לישראל מתגברת, אנו יכולים לצפות לראות קמפיינים מוגברים מ-APT42", נכתב בדו״ח.
הקבוצה הזו כבר זוהתה בעבר במסגרת שני קמפיינים עיקריים שהופעלו בין ינואר למרץ בשנה שעברה וכן בין מאי ליוני. הזינוק העיקרי בהיקפי ניסיונות הפישינג אירע בעיקר במרץ 2023 על ידי הקבוצה שפעילותה כאמור מיוחסת לממשלה האיראנית ולמשמרות המהפכה. העיתוי של התקיפות עורר עניין כי על פי דיווחים שונים תקיפת חמאס מה-7 באוקטובר תוכננה במקור לאפריל שעבר, כך שהקמפיין הזה ספציפית אולי נועד לסייע לחמאס או לספק מודיעין אסטרטגי.