Falsk modelbureauside skjulte cyberspionage

22. maj 2025

Forskningsgruppe Enhed 42 hos IT-sikkerhedsvirksomheden Palo Alto Networks har afsløret en iransk cyberspionagekampagne, der brugte en falsk hjemmeside, der oprindeligt blev kopieret fra det rigtige Mega Model Agency i Tyskland.

Det falske websted indeholdt skjult JavaScript-kode, der indsamlede besøgendes browserdata, herunder sprogindstillinger, skærmopløsning, IP-adresser og digitale fingeraftryk fra browsere. JavaScript-koden blev forvansket, så den blev ulæselig for mennesker og vanskelig at opdage.

Sort webbanner med "Mega"-logoet øverst i midten, med menupunkter nedenfor såsom "Kvinder", "Mænd", "Kurvet" og "Ansøg".

Hackerne lagde også en falsk profil på siden for en kvindelig model ved navn Shir Benzion med et link til en ”"privat album"”. Det var sandsynligvis et forsøg på at narre den besøgende til at give oplysninger eller downloade ondsindet kode.

Enhed 42 har identificeret den iranske trusselsaktør Agent Serpens (også kendt som APT35 eller Charmerende Killing) som personen bag kampagnen. Denne gruppe udfører cyberspionage gennem langvarige, ressourcekrævende operationer og anses for at arbejde på vegne af Den Islamiske Revolutionsgarde i Iran. Den samme aktør har tidligere angrebet iranske oppositionsfigurer, journalister og aktivister, der arbejder i eksil.

To skærmbilleder, der sammenligner legitime og falske modelbureauer. Det øverste billede viser et modelbureau med et gitter af portrætbilleder med alfabetiske etiketter ovenover, så man kan søge efter navne blandt slørede og uidentificerbare billeder. Grænsefladen indeholder menupunkter for forskellige kategorier såsom "Kvinder", "Mænd" og "Kurvet". Det nederste billede er det samme bortset fra tilføjelsen af den falske Shir Benzion-profil.

Den nuværende operation peger på en fortsat stigning i mistænkt iransk cyberspionage, herunder gennem detaljeret profilering af besøgende og sofistikerede bedragsmetoder. Aktiviteten udgør betydelige risici for organisationer og enkeltpersoner, der går ind for eller støtter den iranske opposition.

Tre billeder fra den falske model Shir Benzions private album med en model iført hvid skjorte og kasket, der poserer foran en bygning.

For at beskytte dig selv, Enhed 42 Rådet er at handle forsigtigt, når man har at gøre med uopfordrede kontakter, der tilbyder tilsyneladende tiltalende muligheder. Før du svarer eller deler følsomme oplysninger, information Det er vigtigt først at sikre identiteten og ægtheden af kontakter, websteder og tilbud.