Nowa kampania cyberespionage uderza w irańskich dysydentów: CRESCENTHARVEST na bazie „protestowych” przynęt

Wprowadzenie do problemu / definicja luki

W połowie lutego 2026 r. badacze opisali świeżą kampanię cyberespionage wymierzoną w osoby wspierające antyrządowe protesty w Iranie (oraz prawdopodobnie w diaspora-targets poza krajem). W centrum operacji jest nowy zestaw złośliwego systemu nazwany CRESCENTHARVEST, dystrybuowany w paczkach, które wyglądają jak autentyczne materiały z protestów (wideo/zdjęcia) oraz raport w języku perskim.

To nie „jedna luka CVE”, ale klasyczny, skuteczny łańcuch: socjotechnika + pliki skrótów Windows (.LNK) + DLL sideloading + moduły kradzieży danych + długotrwały dostęp (RAT). Innymi słowy: nie musisz mieć niezałatanego systemu, by przegrać — wystarczy skłonić użytkownika do uruchomienia spreparowanego pliku.

W skrócie

• Kampania została zaobserwowana krótko po 9 stycznia 2026 i wykorzystuje silny popyt na informacje w czasie niepokojów społecznych.
• Przynęty obejmują autentyczne media i „raport z buntowniczych miast Iranu” po persku, uwiarygadniający paczkę.
• Dostarczany malware działa jako RAT + infostealer: komendy zdalne, keylogging, kradzież danych (m.in. dane przeglądarki, zapisane hasła, cookies) oraz artefakty związane z Telegramem.
• Uruchomienie odbywa się przez DLL sideloading z użyciem zaufanego/sygnowanego pliku wykonywalnego (w raporcie: signed Google executable).
• Atrybucja nie jest jednoznaczna, ale victimology + metodologia + infrastruktura C2 wskazują na aktora „Iran-aligned”.

Kontekst / historia / powiązania

Operacje wymierzone w dysydentów i aktywistów to stały element irańskiego ekosystemu zagrożeń: od spear-phishingu i kradzieży kont po kampanie łączące cyber z presją offline. W 2025 r. instytucje USA publicznie ostrzegały, iż irańscy aktorzy potrafią gwałtownie przechodzić od wykorzystania podatności i słabych haseł do działań destrukcyjnych i wycieku danych — często w odpowiedzi na wydarzenia geopolityczne.

Dodatkowo, niezależne analizy długoterminowych irańskich APT pokazują ewolucję tradecraftu (różne wektory initial access, warianty malware, rotacja C2, DGA) oraz konsekwentne zainteresowanie zarówno infrastrukturą krytyczną, jak i celami „politycznymi”, w tym dysydentami.

Analiza techniczna / szczegóły kampanii

1) Łańcuch infekcji: przynęta → .LNK → sideloading DLL

Acronis TRU opisuje, iż ofiara otrzymuje archiwum (np. RAR) z materiałami protestowymi. Dwa elementy są kluczowe: złośliwe .LNK udające obraz/wideo oraz komponenty potrzebne do uruchomienia payloadu techniką DLL sideloading.

W praktyce wygląda to tak:

• użytkownik klika „plik wideo” lub „zdjęcie” (faktycznie .LNK),
• uruchamia się zaufany proces (sygnowany plik wykonywalny),
• proces ładuje podstawioną bibliotekę DLL (sideloading),
• DLL wstrzykuje/uruchamia adekwatne moduły CRESCENTHARVEST.

2) Funkcje malware: RAT + infostealer

Według opisu badaczy i relacji The Record, CRESCENTHARVEST:

• wykonuje komendy z C2,
• loguje klawisze (keylogger),
• wyciąga dane z przeglądarek (credentials, historia, cookies),
• pozyskuje informacje związane z kontami Telegram,
• rozpoznaje zainstalowane AV i potrafi dostosować zachowanie (bardziej agresywnie na słabszych hostach lub ciszej, by uniknąć detekcji).

3) „Dojrzałość” i jakość operacji

Acronis ocenia kampanię jako umiarkowanie dojrzałą: widoczne są elementy ponownego użycia kodu open-source oraz ograniczone techniki antyanalizy.
Z kolei GovInfoSecurity zwraca uwagę na „szwy” operacyjne (np. nieużywane endpointy C2, problemy z obsługą User-Agent), co może oznaczać niższą dojrzałość albo pośpiech, by wykorzystać bieżący moment polityczny.

Praktyczne konsekwencje / ryzyko

Dla potencjalnych ofiar (aktywiści, dziennikarze, NGO, diaspora, osoby wrażliwe politycznie) skutki są bardzo konkretne:

• Kompromitacja tożsamości: wykradzione hasła/cookies mogą dać dostęp do poczty, social mediów i kont w usługach chmurowych.
• Deanonimizacja sieci kontaktów: dane z komunikatorów (w tym Telegram) oraz historia przeglądania mogą ujawnić relacje, źródła i miejsca aktywności.
• Długotrwała inwigilacja: RAT + keylogger to przepis na monitoring i „podsłuch” operacyjny w czasie rzeczywistym.
• Ryzyko kaskadowe dla organizacji: o ile cel działa w redakcji/NGO/firmie, pojedynczy host może stać się przyczółkiem do ataku na resztę środowiska (VPN, SSO, współdzielone zasoby).

Rekomendacje operacyjne / co zrobić teraz

Poniżej zestaw działań, które realnie adresują ten typ kampanii (a nie tylko „ogólniki”):

1. Zablokuj/ogranicz uruchamianie .LNK z archiwów i z internetu
   • Wymuś Mark-of-the-Web (MoTW) i polityki ograniczeń dla skrótów.
   • Rozważ reguły ASR/EDR ukierunkowane na nadużycia LNK i nietypowe child-processy po eksploratorze.
2. Monitoruj DLL sideloading i „zaufane binarki” uruchamiane z dziwnych lokalizacji
   • Alerty na signed executables odpalane z katalogów użytkownika/Temp/Downloads.
   • Telemetria: proces → ładowanie DLL z tego samego katalogu co plik, nietypowe ścieżki, podejrzane parametry.
3. Hardening stacji roboczych i tożsamości
   • MFA odporne na phishing (FIDO2 / passkeys) tam, gdzie to możliwe.
   • Separacja profili przeglądarki (prywatny/aktywistyczny vs. codzienny) i ograniczenie przechowywania haseł w przeglądarce.
4. Higiena komunikacji i „bezpieczne paczki”
   • Dla redakcji/NGO: osobne, izolowane środowisko do otwierania materiałów (VM/sandbox).
   • Nie uruchamiać plików „wideo”/„zdjęć” w formie skrótów; wymuszać weryfikację rozszerzeń.
5. Wykrywanie i reagowanie: IoC + hunting
   • Skorzystaj z sekcji IoC/detekcji w raporcie Acronis (jeśli prowadzisz SOC).
   • Poluj na: nietypowe połączenia wychodzące po otwarciu archiwum, anomalie w UA/HTTP, wycieki cookies/credential stores.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

CRESCENTHARVEST wpisuje się w znany wzorzec kampanii „event-driven”: nagłe wydarzenie → rośnie apetyt na informacje → przynęta udaje wiarygodne materiały → infekcja bez exploitów.

W porównaniu do części historycznych kampanii APT, tu widzimy:

• nacisk na protestowe lury i perskojęzyczny „content packaging” (bardzo dopasowane victimology),
• umiarkowaną „jakość” operacyjną (pewne błędy/artefakty), co bywa typowe dla operacji składanych gwałtownie pod bieżący moment,
• ale jednocześnie solidny, sprawdzony TTP: LNK + sideloading + infosteal + RAT (wysoka skuteczność przy niskim koszcie).

Podsumowanie / najważniejsze wnioski

CRESCENTHARVEST to praktyczny przykład, iż w 2026 r. najgroźniejsze kampanie nie muszą zaczynać się od 0-day: wystarcza wiarygodna narracja i dobrze opakowana paczka plików. Cele — osoby powiązane z protestami i dysydenci — są szczególnie narażone, bo ich „ryzyko kliknięcia” rośnie w czasie kryzysu informacyjnego i blackoutów.

Jeśli bronisz organizacji lub grup wysokiego ryzyka, potraktuj ten case jako checklistę: kontrola LNK, detekcja sideloadingu, wzmocnienie tożsamości i odseparowane środowiska do otwierania niezweryfikowanych materiałów.

Źródła / bibliografia

1. Acronis TRU – opis kampanii i analiza techniczna CRESCENTHARVEST (17 lutego 2026). (Acronis)
2. The Record (Recorded Future News) – relacja o kampanii i streszczenie możliwości malware (17 lutego 2026). (The Record from Recorded Future)
3. GovInfoSecurity – omówienie kampanii i obserwacje dot. „dojrzałości” operacji (17 lutego 2026). (govinfosecurity.com)
4. SC Media / SCWorld – krótki brief i kontekst medialny (18 lutego 2026). (SC Media)
5. Reuters + Unit 42 – kontekst szerszego ryzyka i trendów działań irańskich aktorów (30 czerwca 2025 / aktualizacja briefu do sierpnia 2025). (Reuters)