ایک نئے اور پہلے کبھی نہ دیکھے گئے سائبر جاسوسی گروپ جس کا کوڈ نام SmudgedSerpent رکھا گیا ہے، نے جون سے اگست 2025 کے دوران امریکی ماہرینِ خارجہ اور اکیڈمک شخصیات کو نشانہ بنایا۔
یہ حملے ایسے وقت میں کیے گئے جب ایران اور اسرائیل کے درمیان سیاسی کشیدگی اپنے عروج پر تھی، جس سے اندازہ ہوتا ہے کہ ان حملوں کے پیچھے ریاستی سطح کا مقصد ہو سکتا ہے۔
کن افراد کو نشانہ بنایا گیا؟
سائبر سیکیورٹی کمپنی Proofpoint کی رپورٹ کے مطابق، ان حملوں میں خاص طور پر ایک معروف امریکی تھنک ٹینک کے 20 سے زیادہ ماہرین کو نشانہ بنایا گیا جو ایران سے متعلق پالیسی امور پر کام کرتے ہیں۔
یہ ماہرین امریکی خارجہ پالیسی، دفاع اور مشرقِ وسطیٰ کے امور پر تحقیق کرتے ہیں، اس لیے ان کا ڈیٹا خفیہ معلومات کے لحاظ سے انتہائی اہم ہے۔
حملہ کیسے کیا گیا؟
SmudgedSerpent گروپ نے ایک عام مگر خطرناک فشنگ طریقہ استعمال کیا۔
سب سے پہلے انہوں نے دوستانہ اور نارمل ای میل گفتگو شروع کی، پھر آہستہ آہستہ لاگ اِن معلومات چوری کرنے کی کوشش کی۔
•حملہ آوروں نے مشہور امریکی تھنک ٹینکس جیسے Brookings Institution اور Washington Institute سے تعلق رکھنے والے افراد کے نام استعمال کیے۔
•ای میلز میں جعلی میٹنگ فائلیں یا تحقیقاتی دستاویزات کے لنک شامل تھے جو دراصل نقلی لاگ اِن پیجز کی طرف لے جاتے تھے۔
•ان صفحات کا مقصد Microsoft اکاؤنٹس کے یوزر نیم اور پاس ورڈز چُرانا تھا۔
ایک کیس میں ہیکرز نے پہلے ای میل کے ذریعے شناخت کی تصدیق کا بہانہ کیا تاکہ اعتماد حاصل کیا جا سکے، پھر جعلی فائل بھیجی جس کے لنک پر کلک کرنے سے جعلی Microsoft Teams یا OnlyOffice ویب سائٹ کھلتی تھی۔
تکنیکی تفصیل
یہ ای میلز ایک MSI انسٹالر فائل پر مشتمل تھیں جو بظاہر Microsoft Teams کی طرح لگتی تھی، مگر انسٹال ہونے پر PDQ Connect نامی ریموٹ ایکسس سافٹ ویئر انسٹال کر دیتی تھی۔
اس کے بعد ہیکرز کو متاثرہ کمپیوٹر تک دور سے رسائی حاصل ہو جاتی تھی۔
Proofpoint کے مطابق ہیکرز نے بعد میں ISL Online جیسے دوسرے ریموٹ سافٹ ویئر بھی انسٹال کیے تاکہ وہ سسٹم پر مزید کنٹرول حاصل کر سکیں۔
یہ بھی دیکھا گیا کہ جب شکار کو شک ہوا، تو ہیکرز نے اپنے جعلی لاگ اِن پیج سے پاس ورڈ کا خانہ ہٹا دیا تاکہ مزید شک نہ ہو اور سیدھا جعلی OnlyOffice صفحہ کھل جائے۔
ایران سے تعلق
SmudgedSerpent کے طریقے اور انفراسٹرکچر ایرانی ہیکر گروپس سے مشابہ ہیں، جن میں شامل ہیں:
•TA455 (Smoke Sandstorm)
•TA453 (Charming Kitten)
•TA450 (MuddyWater)
ان گروپس کی طرح SmudgedSerpent نے بھی صحت سے متعلق ڈومینز جیسے thebesthomehealth[.]com اور OnlyOffice پر جعلی فائلیں ہوسٹ کیں۔
یہی انداز پہلے 2024 کے آخر سے TA455 گروپ بھی استعمال کر رہا ہے۔
بڑا منظر
Proofpoint کے مطابق یہ مہم ایران کی ایک وسیع انٹیلیجنس معلومات جمع کرنے کی کوشش کا حصہ ہے۔
ان کا مقصد مغربی پالیسی ریسرچ، اکیڈمک ادارے اور ٹیکنالوجی سے متعلق شعبے ہیں۔
یہ مہم ظاہر کرتی ہے کہ ایرانی انٹیلیجنس ادارے اور سائبر یونٹس اب مزید منظم انداز میں مل کر کام کر رہے ہیں، اور ان کا فوکس سٹریٹیجک معلومات حاصل کرنے پر ہے۔
احتیاطی اقدامات
یہ واقعہ اس بات کا واضح ثبوت ہے کہ سائبر جاسوسی کا دائرہ اب صرف حکومتوں تک محدود نہیں رہا۔
اب تھنک ٹینک، ریسرچرز اور ماہرین بھی براہِ راست نشانے پر ہیں۔
ایسے اداروں اور افراد کو چاہیے کہ وہ:
•فشنگ حملوں کے بارے میں آگاہی اور تربیت حاصل کریں۔
•تمام اکاؤنٹس پر ٹو فیکٹر آتھنٹیکیشن (MFA) ضرور استعمال کریں۔
•مشکوک ای میلز اور غیر مجاز ریموٹ ایکسس ٹولز پر نظر رکھیں۔
جیسے جیسے دنیا میں سیاسی تنازعات بڑھ رہے ہیں، سائبر اسپیس ایک نیا جنگی میدان بن چکا ہے۔
اور SmudgedSerpent اس نئے ڈیجیٹل محاذ کی ایک تازہ مثال ہے۔
سورس
https://thehackernews.com/2025/11/mysterious-smudgedserpent-hackers.html?m=1
