Proofpoint UNK_SmudgedSerpent

Die Kampagne begann mit scheinbar harmlosen E-Mails über innenpolitische Reformen im Iran und Ermittlungen gegen die Islamische Revolutionsgarde. Die Angreifer gaben sich als prominente Experten aus, darunter Suzanne Maloney von der Brookings Institution und Patrick Clawson vom Washington Institute, und verwendeten gefälschte Gmail- und Outlook-Adressen mit leicht abgewandelten Schreibweisen ihrer Namen.

Was UNK_SmudgedSerpent besonders bemerkenswert macht, ist sein hybrider Ansatz. Die ersten Kontaktaufnahmen der Gruppe ahmten TA453 (Charming Kitten) nach, das für harmlose Gesprächsanstöße mit Nahost-Politikexperten bekannt ist. In den folgenden Phasen wurden jedoch Infrastruktur und Techniken von TA455 (Smoke Sandstorm) übernommen, darunter Domainnamen mit Gesundheitsbezug und gefälschte OnlyOffice-Datei-Hosting-Dienste.

Die Angriffskette verlief von der Erfassung von Anmeldedaten bis zur Übertragung von Malware. Opfer, die auf die Phishing-E-Mails reagierten, erhielten Links, die scheinbar zu OnlyOffice-Dokumenten führten, aber tatsächlich über von Angreifern kontrollierte Domains wie thebesthomehealth[.]com und mosaichealthsolutions[.]com umgeleitet wurden. Diese Websites hosteten angepasste Microsoft 365-Anmeldeseiten, die zum Diebstahl von Anmeldedaten entwickelt wurden.

Wenn der Diebstahl von Anmeldedaten fehlschlug, wechselten die Angreifer zum Einsatz von Fernverwaltungstools – zuerst PDQConnect, dann ISL Online. Diese Taktik ähnelt den Methoden von TA450 (MuddyWater), was UNK_SmudgedSerpent zu einer Chimäre iranischer Cyberoperationen macht.

Die Forscher von Proofpoint entdeckten eine sich überschneidende Infrastruktur, die sowohl die maßgeschneiderte MiniJunk-Malware von TA455 als auch die mit TA450 verbundenen RMM-Tools beherbergte, was die Zuordnung weiter erschwert. Die Konvergenz der Taktiken lässt mehrere Möglichkeiten zu: gemeinsame Beschaffung von Infrastruktur, Personalbewegungen zwischen den Gruppen oder paralleler Einsatz mehrerer Auftragnehmerteams durch iranische Geheimdienste.

Die Zielausrichtung blieb während der gesamten Kampagne unverändert. Nach einer ersten Welle, in der über zwanzig Personen eines einzigen US-Thinktanks kontaktiert wurden, konzentrierten sich die nachfolgenden Operationen auf einzelne Ziele mit Fachkenntnissen in iranischer Außenpolitik, was die Prioritäten der Geheimdienste in Teheran widerspiegelt.

Die Aktivitäten wurden im August 2025 eingestellt, aber Forscher warnen, dass ähnliche Operationen wahrscheinlich fortgesetzt werden. Das Auftauchen dieses hybriden Bedrohungsakteurs deutet auf eine mögliche Umstrukturierung innerhalb des iranischen Cyberspionage-Ökosystems hin, in dem die Islamische Revolutionsgarde und das Ministerium für Nachrichtendienste möglicherweise ihre Fähigkeiten konsolidieren oder Ressourcen gemeinsam nutzen.

Der Fall verdeutlicht die zunehmende Raffinesse staatlich geförderter Phishing-Kampagnen und die Herausforderungen bei der Zuordnung, wenn Bedrohungsakteure bewusst verschiedene Techniken miteinander kombinieren. Für Politikexperten und Wissenschaftler, die sich mit sensiblen geopolitischen Themen befassen, ist die Bedrohungslage komplexer geworden und erfordert erhöhte Wachsamkeit gegenüber Social-Engineering-Angriffen, die äußerst authentisch erscheinen können.

The campaign began with seemingly innocuous emails about domestic political reform in Iran and investigations into the Islamic Revolutionary Guard Corps. Attackers impersonated prominent experts, including Suzanne Maloney from the Brookings Institution and Patrick Clawson from the Washington Institute, using spoofed Gmail and Outlook addresses with slight misspellings of their names.

What makes UNK_SmudgedSerpent particularly noteworthy is its hybrid approach. The group’s initial outreach mimicked TA453 (Charming Kitten), known for benign conversation starters with Middle East policy experts. However, the subsequent stages borrowed infrastructure and techniques from TA455 (Smoke Sandstorm), including health-themed domain names and OnlyOffice file-hosting spoofs.

The attack chain progressed from credential harvesting to malware delivery. Victims who engaged with the phishing emails received links appearing to lead to OnlyOffice documents but actually redirected through attacker-controlled domains like thebesthomehealth[.]com and mosaichealthsolutions[.]com. These sites hosted customized Microsoft 365 login pages designed to steal credentials.

When credential theft failed, the attackers pivoted to deploying remote management tools—first PDQConnect, then ISL Online. This tactic resembles methods used by TA450 (MuddyWater), making UNK_SmudgedSerpent a chimera of Iranian cyber operations.

Proofpoint researchers discovered overlapping infrastructure that hosted both TA455’s custom MiniJunk malware and the RMM tools associated with TA450, further blurring attribution lines. The convergence of tactics suggests several possibilities: shared infrastructure procurement, personnel movement between groups, or parallel deployment of multiple contractor teams by Iranian intelligence services.

The targeting remained focused throughout the campaign. After an initial wave that contacted over twenty individuals at a single US think tank, subsequent operations narrowed to solitary targets with expertise in Iranian foreign policy, reflecting Tehran’s intelligence priorities.

Activity ceased in August 2025, but researchers warn that related operations likely continue. The emergence of this hybrid threat actor indicates possible reorganization within Iran’s cyber espionage ecosystem, where the Islamic Revolutionary Guard Corps and Ministry of Intelligence Services may be consolidating capabilities or sharing resources.

The case highlights the increasing sophistication of state-sponsored phishing campaigns and the challenges of attribution when threat actors deliberately blend techniques. For policy experts and academics working on sensitive geopolitical topics, the threat landscape has become more complex, requiring heightened vigilance against social engineering attacks that can appear remarkably authentic.