Η ιρανική ομάδα προηγμένης επίμονης απειλής γνωστή ως Seedworm – επίσης παρακολουθείται ως MuddyWater, Temp Zagros και Static Kitten – βρέθηκε να λειτουργεί ενεργά μέσα στα δίκτυα πολλών αμερικανικών οργανισμών από τις αρχές Φεβρουαρίου 2026, προκαλώντας σοβαρούς συναγερμούς στην κοινότητα της κυβερνοασφάλειας.
Η εντατική δραστηριότητα της ομάδας ακολουθεί τα συντονισμένα στρατιωτικά πλήγματα των ΗΠΑ και του Ισραήλ στο Ιράν στις 28 Φεβρουαρίου 2026, τα οποία οδήγησαν στο θάνατο του Ανώτατου Ηγέτη του Ιράν και κλιμάκωσαν δραματικά τις περιφερειακές εντάσεις.
Η απάντηση του Ιράν δεν περιορίστηκε σε συμβατικά στρατιωτικά αντίποινα. Οι κυβερνοτελεστές της φαίνεται ότι χρησιμοποίησαν την αυξανόμενη σύγκρουση ως άμεσο έναυσμα για να επιταχύνουν τις εισβολές εναντίον αμερικανικών και συμμαχικών στόχων.
Το Seedworm δραστηριοποιείται τουλάχιστον από το 2017 και έχει χαρακτηριστεί επίσημα από την CISA ως υποδεέστερο στοιχείο του Υπουργείου Πληροφοριών και Ασφάλειας του Ιράν (MOIS).
Με τα χρόνια, ο όμιλος έχει μετατοπίσει την εστίασή του από τη Μέση Ανατολή για να συμπεριλάβει εταιρείες τηλεπικοινωνιών, αμυντικούς εργολάβους, τοπικές κυβερνήσεις και οργανισμούς πετρελαίου και φυσικού αερίου σε όλη την Ασία, την Αφρική, την Ευρώπη και τη Βόρεια Αμερική.
Η ομάδα αναπτύσσει το δικό της προσαρμοσμένο κακόβουλο λογισμικό, ενώ παράλληλα αξιοποιεί τα νόμιμα εργαλεία διπλής χρήσης, επιτρέποντάς του να συνδυάζεται αθόρυβα σε κανονικά περιβάλλοντα δικτύου.
Οι ερευνητές της Symantec εντόπισαν δραστηριότητα εισβολής στα δίκτυα μιας τράπεζας των ΗΠΑ, ενός αεροδρομίου των ΗΠΑ, μιας εταιρείας λογισμικού με δεσμούς με την αμυντική και αεροδιαστημική βιομηχανία και μη κυβερνητικών οργανώσεων τόσο στις ΗΠΑ όσο και στον Καναδά.
Οι δραστηριότητες της εταιρείας λογισμικού στο Ισραήλ φάνηκε να είναι το κύριο επίκεντρο αυτής της εισβολής, με το Seedworm να χρησιμοποιεί φαινομενικά την παγκόσμια παρουσία της εταιρείας ως γέφυρα πλευρικής πρόσβασης.
Σημειωτέον, αυτές οι παραβιάσεις είχαν ήδη ξεκινήσει πριν από την επίσημη έναρξη της στρατιωτικής σύγκρουσης, υποδηλώνοντας ότι η ομάδα είχε τοποθετηθεί αθόρυβα μέσα σε δίκτυα υψηλής αξίας πολύ πριν από την κλιμάκωση.
Το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου εξέδωσε επίσημη προειδοποίηση ότι οι ιρανοί κρατικοί παράγοντες «σχεδόν σίγουρα διατηρούν τουλάχιστον κάποια ικανότητα διεξαγωγής κυβερνο-δραστηριότητας», ακόμη και με τη συνεχιζόμενη διακοπή της διαδικτυακής υποδομής εντός του ίδιου του Ιράν.
Αυτό υπογραμμίζει μια βασική πραγματικότητα: η Seedworm και άλλοι συνδεδεμένοι φορείς δραστηριοποιούνται σε πολλές χώρες, πράγμα που σημαίνει ότι η εσωτερική αναστάτωση στο Ιράν δεν σταματά τη συνολική τους λειτουργία.
Η ομάδα hacktivist Handala, η οποία λειτουργεί σε ευθυγράμμιση με τα γεωπολιτικά συμφέροντα του Ιράν, φέρεται να αξιοποιεί το δορυφορικό δίκτυο Starlink για να διατηρήσει τη συνδεσιμότητα από τα μέσα Ιανουαρίου 2026, πολύ πριν η κυβέρνηση του Ιράν ανακοινώσει διακοπή λειτουργίας του Διαδικτύου σε εθνικό επίπεδο.
Πέρα από το Seedworm, άλλοι παράγοντες που συνδέονται με το Ιράν έχουν εντείνει τη δραστηριότητά τους. Η φιλοπαλαιστινιακή ομάδα χακτιβιστών DieNet εμφανίστηκε στις αρχές του 2025 και έκτοτε ανέλαβε την ευθύνη για επιθέσεις DDoS που στοχεύουν κρίσιμες υποδομές των ΗΠΑ σε τομείς ενέργειας, οικονομικών, υγειονομικής περίθαλψης και μεταφορών, χρησιμοποιώντας τεχνικές TCP SYN floods, ενίσχυση DNS και τεχνικές ενίσχυσης NTP. Αυτός ο συνδυασμός κατασκοπείας που χρηματοδοτείται από το κράτος και διαταραχής των χακτιβιστών δημιουργεί ένα πολυεπίπεδο περιβάλλον απειλής που κανένα μεμονωμένο αμυντικό μέτρο δεν μπορεί να περιορίσει πλήρως.
Ανάπτυξη Backdoor και Stealth Persistence
Η πιο πρόσφατη εργαλειοθήκη του Seedworm περιλαμβάνει δύο κερκόπορτες που εντοπίστηκαν πρόσφατα: Dindoor και Fakeset.
Το Dindoor είναι μια προηγουμένως άγνωστη κερκόπορτα που δημιουργήθηκε για να εκτελείται μέσω του Deno, ενός ασφαλούς χρόνου εκτέλεσης για JavaScript και TypeScript, δίνοντάς του ένα ασυνήθιστο αποτύπωμα που πολλά εργαλεία ασφαλείας ενδέχεται να μην ανιχνεύσουν αμέσως.
Βρέθηκε σε δίκτυα που ανήκουν στο υποκατάστημα της εταιρείας λογισμικού στο Ισραήλ, μια τράπεζα των ΗΠΑ και μια καναδική μη κερδοσκοπική οργάνωση, υπογεγραμμένο με πιστοποιητικό που εκδόθηκε στην «Amy Cherne».
Το Fakeset, ένα backdoor που βασίζεται στην Python, αναπτύχθηκε στο αεροδρόμιο και σε μη κερδοσκοπικά δίκτυα, υπογεγραμμένο με πιστοποιητικά στα ονόματα των «Amy Cherne» και «Donald Gay».
Το πιστοποιητικό «Donald Gay» είχε χρησιμοποιηθεί στο παρελθόν για την υπογραφή άλλου κακόβουλου λογισμικού που συνδέεται με το Seedworm, συνδέοντας απευθείας αυτήν τη νέα δραστηριότητα με μια καθιερωμένη αλυσίδα υποδομής απειλών.
Το πρόγραμμα λήψης Stagecomp, υπογεγραμμένο επίσης με το πιστοποιητικό «Donald Gay», χρησιμοποιήθηκε για την παράδοση της κερκόπορτας του Darkcomp — επίσημα συνδεδεμένο με το Seedworm από την Google, τη Microsoft και την Kaspersky.
Κατά τη διάρκεια της εισβολής της εταιρείας λογισμικού, οι εισβολείς προσπάθησαν επίσης να εκμεταλλευτούν δεδομένα χρησιμοποιώντας το Rclone, ένα νόμιμο βοηθητικό πρόγραμμα μεταφοράς αρχείων που επαναχρησιμοποιήθηκε για να μετακινήσει αρχεία σε έναν κάδο αποθήκευσης cloud Wasabi, αν και παραμένει ασαφές εάν η προσπάθεια πέτυχε.
Οι οργανισμοί θα πρέπει να επιβάλλουν έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα σημεία εισόδου απομακρυσμένης πρόσβασης, να παρακολουθούν στενά για μη κανονικές εξερχόμενες μεταφορές δεδομένων, να αναπτύσσουν τείχη προστασίας εφαρμογών ιστού με ενημερωμένα σύνολα κανόνων, να περιορίζουν την πρόσβαση σε εξωτερικές υπηρεσίες αποθήκευσης cloud και να διατηρούν αμετάβλητα αντίγραφα ασφαλείας εκτός σύνδεσης για να διασφαλίζουν ταχεία ανάκτηση μετά από οποιαδήποτε πιθανή καταστροφική επίθεση.
