Irańska grupa hakerska Screening Serpens, określana również jako „Iranian Dream Job”, nasila swoją globalną kampanię cyberszpiegowską. Jej głównym celem są specjaliści z branży technologicznej oraz sektora obronnego, co stanowi istotne zagrożenie także dla polskich firm i pracowników. Hakerzy wykorzystują zaawansowane techniki socjotechniczne, podszywając się pod rekruterów i wysyłając spersonalizowane, wiarygodnie wyglądające oferty pracy.
Kampania, aktywna co najmniej od 2022 roku, gwałtownie zwiększyła swoją aktywność w lutym 2026 roku. Choć początkowo koncentrowała się na regionalnych celach, obecnie stała się operacją o zasięgu globalnym, obejmując m.in. USA, Izrael, Zjednoczone Emiraty Arabskie i Europę Zachodnią. Analitycy z Unit 42, zespołu Palo Alto Networks, podkreślają, że dla organizacji kluczowe jest zrozumienie, iż fałszywe rekrutacje mogą być punktem wyjścia do szeroko zakrojonego ataku na infrastrukturę przedsiębiorstwa.
Mechanizm ataku: od oferty do infekcji
Hakerzy nie polegają na masowym spamie. Zamiast tego, tworzą precyzyjnie spersonalizowane oferty pracy, podszywając się pod znane firmy i platformy rekrutacyjne. Celem są inżynierowie oprogramowania i specjaliści IT z sektorów lotniczego, obronnego oraz telekomunikacyjnego – osoby z dostępem do wrażliwej wiedzy i systemów. Przynętą jest zazwyczaj pozornie nieszkodliwy plik ZIP zawierający rzekome warunki zatrudnienia. Kliknięcie w link, często wyglądający jak logowanie do platformy rekrutacyjnej, uruchamia instalację złośliwego oprogramowania, które służy do szpiegowania i kradzieży danych.
Wyrafinowane techniki ukrywania się
Screening Serpens wykorzystuje złośliwe oprogramowanie z rodzin MiniUpdate i MiniJunk V2. Ich działania wyróżnia jednak technika AppDomainManager hijacking. Polega ona na przejęciu kontroli nad procesem już na etapie uruchamiania aplikacji .NET. Hakerzy ingerują w start aplikacji, wykorzystując legalne pliki konfiguracyjne. Dzięki temu złośliwy kod może działać, zanim właściwa aplikacja i mechanizmy zabezpieczające zostaną w pełni uruchomione.
Ta metoda znacznie utrudnia wykrycie ataków. Przestępcy mogą ograniczać widoczność swojej aktywności dla narzędzi monitorujących Windows, a następnie utrzymywać dostęp do zainfekowanego systemu. Wykorzystują do tego Harmonogram Zadań Windows i ukrywają procesy pod nazwami przypominającymi moduły systemowe, np. „WindowsSecurityUpdate”.
Nowe wyzwania dla cyberbezpieczeństwa
Tradycyjne zabezpieczenia oparte na sygnaturach złośliwych plików stają się niewystarczające. Jak podkreśla Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej, organizacje potrzebują wielowarstwowego podejścia do ochrony, opartego na analizie zachowań. Kluczowe jest wykrywanie nietypowych działań już na etapie uruchamiania aplikacji, takich jak AppDomain Hijacking czy wyłączanie telemetrii systemowej. Monitorowanie zachowania aplikacji staje się podstawą skutecznej, proaktywnej ochrony.
Najważniejsze fakty
| Aspekt | Szczegóły |
|---|---|
| Grupa hakerska | Screening Serpens (Iranian Dream Job) |
| Cel ataków | Specjaliści IT, inżynierowie, sektor lotniczy, obronny, telekomunikacyjny |
| Mechanizm | Fałszywe oferty pracy, spersonalizowany phishing, pliki ZIP ze złośliwym oprogramowaniem |
| Techniki | AppDomainManager hijacking, MiniUpdate, MiniJunk V2, ukrywanie procesów w systemie Windows |
Polska na celowniku
Choć główny obszar działań Screening Serpens to oś USA-Izrael-Zjednoczone Emiraty Arabskie, Polska również jest narażona na podobne zagrożenia. Raport CERT Polska za 2025 rok wskazuje, że oszustwa komputerowe, w tym phishing, odpowiadają za 97,1 proc. wszystkich zarejestrowanych incydentów, co daje 253 238 przypadków. Phishing w kontekście fałszywych rekrutacji jest szczególnie podstępny, gdyż wykorzystuje atrakcyjne oferty pracy jako przynętę. Polscy eksperci znają również problem technik „Living-off-the-Land”, gdzie przestępcy wykorzystują legalne narzędzia systemowe, co utrudnia ich wykrycie.
Dwa poziomy obrony: edukacja i technologia
Firmy muszą zmienić swoje podejście do bezpieczeństwa. Proces rekrutacji, kontakt z kandydatami i wymiana plików nie jest już wyłącznie domeną HR, ale również obszarem podwyższonego ryzyka cybernetycznego. Z analizy Unit 42 wynika, że sama technologia nie wystarczy, jeśli pracownik ulegnie manipulacji. Konieczne są dwa poziomy obrony: edukacja pracowników, zwłaszcza tych z dostępem do wrażliwych danych, oraz implementacja narzędzi wykrywających nietypowe zachowania aplikacji, zanim atak zdąży się rozwinąć. W dobie, gdy sztuczna inteligencja ułatwia tworzenie wiarygodnych wiadomości, a grupy cyberszpiegowskie wykorzystują legalne mechanizmy systemowe, czujność i proaktywne podejście są kluczowe.
Źródło: 300Gospodarka, https://300gospodarka.pl/news/falszywe-rekrutacje-nowe-narzedzia-cyberprzestepcow
Źródła i weryfikacja
Materiał przygotowano jako praktyczną notatkę redakcyjną. Przed decyzjami prawnymi, finansowymi lub urzędowymi sprawdzaj dane w źródle pierwotnym.
- Oficjalne źródła i weryfikacja redakcyjna