Falsk modellbyrånettsted skjulte nettspionasje

22. mai 2025

Forskningsgruppe Enhet 42 hos IT-sikkerhetsselskapet Palo Alto Networks har avslørt en iransk cyberspionasjekampanje som brukte en falsk nettside som opprinnelig ble kopiert fra det virkelige Mega Model Agency i Tyskland.

Det falske nettstedet inneholdt skjult JavaScript-kode som samlet inn besøkendes nettleserdata, inkludert språkinnstillinger, skjermoppløsning, IP-adresser og digitale fingeravtrykk i nettlesere. JavaScript-koden ble forvrengt slik at den ble uleselig for mennesker og vanskelig å oppdage.

Svart webbanner med "Mega"-logoen øverst i midten, med menyalternativer nedenfor som "Kvinner", "Menn", "Kurvete" og "Søk".

Hackerne la også ut en falsk profil på nettstedet, for en kvinnelig modell ved navn Shir Benzion, med en lenke til en ”privat album”. Det var sannsynligvis et forsøk på å lure den besøkende til å gi fra seg informasjon eller laste ned skadelig kode.

Enhet 42 har identifisert den iranske trusselaktøren Agent Serpens (også kjent som APT35 eller sjarmerende kattunge) som personen bak kampanjen. Denne gruppen utfører cyberspionasje gjennom langvarige, ressurskrevende operasjoner og anses å jobbe på vegne av Den islamske revolusjonsgarden i Iran. Den samme aktøren har tidligere angrepet iranske opposisjonsfigurer, journalister og aktivister som jobber i eksil.

To skjermbilder som sammenligner legitime og falske modellbyråer. Det øverste bildet viser et modellbyrå med et rutenett av portrettbilder med alfabetiske etiketter over for å søke etter navn blant uskarpe og uidentifiserbare bilder. Grensesnittet inkluderer menyalternativer for forskjellige kategorier som "Kvinner", "Menn" og "Kurvete". Det nederste bildet er det samme bortsett fra at den falske Shir Benzion-profilen er lagt til.

Den nåværende operasjonen peker på en fortsatt økning i mistenkt iransk cyberspionasje, blant annet gjennom detaljert profilering av besøkende og sofistikerte bedragsmetoder. Aktiviteten utgjør betydelig risiko for organisasjoner og enkeltpersoner som taler for eller støtter den iranske opposisjonen.

Tre bilder fra den falske modellen Shir Benzions private album som viser en modell iført hvit skjorte og caps, poserende foran en bygning.

For å beskytte deg selv, Enhet 42 Rådet er å være forsiktig når du har med uoppfordrede kontakter å gjøre som tilbyr tilsynelatende tiltalende muligheter. Før du svarer eller deler sensitiv informasjon, informasjon Det er viktig å først sikre identiteten og autentisiteten til kontakter, nettsteder og tilbud.