Іранські хакери, відомі під псевдонімом Seedworm, здійснили кібератаку на одного з провідних виробників електроніки в Південній Кореї. Ця атака стала частиною ширшої кампанії кіберзлочинності, спрямованої на промисловість та технологічні компанії в різних країнах. За даними експертів з кібербезпеки, метою хакерів було отримання доступу до чутливої інформації та викрадення комерційної таємниці. Атака використовувала складні методи соціальної інженерії і
У лютому 2026 року фахівці з кібербезпеки зафіксували масштабну шпигунську кампанію, що охопила дев'ять організацій на чотирьох континентах. Найбільш резонансним випадком стало проникнення в мережу провідного південнокорейського виробника електроніки, де зловмисники залишалися непоміченими протягом тижня.
Іранське хакерське угруповання MuddyWater, також відоме під назвами Seedworm, Static Kitten та Temp Zagros, провело широку кампанію кібершпигунства, націлену на високотехнологічні сектори по всьому світу. За данимиBleeping Computer, зловмисники провели цілий тиждень усередині мережі "великого південнокорейського виробника електроніки" в період з 20 по 27 лютого 2026 року, проте жоден звіт не називає, хто саме це був – Samsung чи якась інша компанія.
Дивіться такожГоловний завод Apple атакували хакери: викрадені важливі документи і проєкти пристроїв
Ця атака стала частиною масштабнішої операції, жертвами якої стали урядові установи, міжнародний аеропорт на Близькому Сході, промислові підприємства в Південно-Східній Азії, фінансові установи в Латинській Америці та освітні заклади в різних країнах.
Експерти кібербезпекової компаніїSymantecвважають, що угруповання Seedworm тісно пов'язане з Міністерством розвідки та безпеки Ірану. Основною метою зловмисників була крадіжка промислової та інтелектуальної власності, державне шпигунство, а також отримання доступу до списку клієнтів. Кожна з цілей могла володіти матеріалами, що мають розвідувальну цінність для Тегерана.
Методи, які використовували хакери, свідчать про суттєве зростання їхньої професійної майстерності.
Нападники послідовно скидали пари файлів, що складалися з легітимного, підписаного виконуваного файлу третьої сторони та шкідливої бібліотеки DLL, розробленої для завантаження цим файлом,– прокоментували дослідники Symantec.
Ця техніка, відома як заміна динамічних бібліотек (DLL sideloading), дозволяла зловмисникам маскувати шкідливу активність під виглядом роботи надійного програмного забезпечення.
Зокрема, хакери використовували утиліту Fortemedia fmapp.exe та компонент антивірусного захисту SentinelOne sentinelmemoryscanner.exe.
Використання бінарного файлу продукту безпеки – це свідомий вибір, спрямований як на обхід детектування за шляхами або підписами, так і на те, щоб заплутати аналіз,– додали в Symantec.
Шкідливі бібліотеки містили інструмент ChromElevator, призначений для викрадення паролів, файлів cookie та даних платіжних карток із браузерів на базі Chromium.
Для викрадення облікових даних використовувалися підроблені вікна запиту пароля Windows та інструменти для зчитування файлів реєстру SAM, SECURITY та SYSTEM. Крім того, хакери застосовували спеціалізоване програмне забезпечення для підвищення привілеїв та перехоплення квитків Kerberos без знання паролів адміністраторів.
Особливістю цієї кампанії стало використання Node.js для координації дій замість прямого використання PowerShell, що робило атаку тихішою та складнішою для виявлення. Для виведення вкрадених даних зловмисники використовували публічний сервіс обміну файлами sendit.sh. Це дозволяло змішувати шпигунський трафік із звичайним користувацьким трафіком хмарних сервісів.
На думку аналітиків, розширення географії атак і використання складніших інструментів вказує на те, що розвідувальні потреби Ірану зросли, а саме угруповання Seedworm перейшло до "більш дисциплінованих та прихованих операцій".
Активність на початку 2026 року відбувалася на тлі напруженості навколо ядерної програми Ірану та регіональних конфліктів.
Дивіться такожІранські хакери зламали пошту директора ФБР та злили дані за останні 10 років
Хакерське угруповання Seedworm, також відоме під назвами APT34, OilRig або Helix Kitten, вважається однією з найвідоміших іранських кібершпигунських груп. Фахівці з кібербезпеки пов'язують її з іранськими державними структурами, зокрема зі спецслужбами та Корпусом вартових Ісламської революції.
Групу почали активно відстежувати приблизно з 2014 року, хоча окремі операції могли проводитися й раніше. Seedworm спеціалізується передусім на кібершпигунстві, викраденні даних, проникненні в корпоративні мережі та довготривалому прихованому доступі до систем.
Основними цілями Seedworm ставали урядові структури, енергетичні компанії, телекомунікаційні оператори, оборонні підприємства, банки та інфраструктурні організації на Близькому Сході, у США та Європі. Особливо часто атаки спрямовувалися проти Саудівської Аравії, Об'єднаних Арабських Еміратів, Ізраїлю та американських організацій.
Експерти з кібербезпеки неодноразово повідомляли, що група активно використовує фішингові листи, підроблені сторінки входу, викрадення облікових даних та шкідливе програмне забезпечення для проникнення в мережі жертв, пишеCSIS.
Seedworm відома тим, що адаптує інструменти під конкретні цілі. У різних кампаніях група використовувала бекдори, PowerShell-скрипти, шкідливі документи Microsoft Office та підроблені VPN-сторінки. Часто атаки будувалися навколо соціальної інженерії – співробітників компаній змушували самостійно передавати паролі або відкривати заражені файли. Дослідники кібербезпеки вважають, що головною метою угруповання є шпигунство, збір розвідданих та геополітичний вплив.
Дивіться такожУчасника російської групи хакерів засудили до 102 місяців ув'язнення: у чому його звинуватили
Іранська хакерська активність загалом почала різко зростати після 2010 року, як проаналізував24 Канал. Одним із ключових моментів стала атака вірусу Stuxnet на іранські ядерні об'єкти. Ця операція, яку пов'язують зі США та Ізраїлем, фактично стала переломним моментом для кіберстратегії Тегерана. Після цього Іран почав активно інвестувати у власні кіберпідрозділи, створювати мережу пов'язаних угруповань і розширювати цифрові можливості.
Сьогодні Іран вважається однією з найактивніших держав у сфері кібервійн. Іранські групи регулярно атакують урядові системи, промислову інфраструктуру, енергетичні об'єкти, водопостачання та телекомунікації. В останні роки особливу увагу приділяють критичній інфраструктурі. Наприклад, аналітики CSIS описували атаки пов'язаних з Іраном хакерів на американські системи водопостачання та промислові контролери PLC.
Крім Seedworm, із Тегераном пов'язують і низку інших угруповань – Charming Kitten, MuddyWater, CyberAv3ngers та Infy. Частина з них займається шпигунством, частина – деструктивними операціями, а деякі діють під виглядом "хактивістів", щоб приховати державний слід. Аналітики вважають, що Іран активно використовує модель проксі-груп – формально незалежних хакерів, які фактично працюють в інтересах держави.
Основні цілі Ірану в кіберпросторі – політичний тиск, шпигунство, відповідь на санкції, боротьба з Ізраїлем та США, а також демонстрація сили. Через кібератаки Тегеран отримує відносно дешевий спосіб впливати на суперників без прямої військової ескалації. Крім того, хакерські операції дозволяють збирати стратегічну інформацію та завдавати економічної шкоди.
Звіт Symantec не вказує на конкретну компанію, яка постраждала у Південній Кореї. Проте ми маємо підказку: це виробник електроніки, якого аналітики називають "великим", помітив24 Канал. З огляду на це, ми можемо робити певні припущення, адже Південна Корея сьогодні є одним із центрів світового виробництва мікросхем, дисплеїв, смартфонів і побутової техніки.
NORDIS – бренд зі Скандинавії, який розробляє сучасні системи опалення та охолодження з акцентом на якість та енергозберігаючі технології. Сучасний дизайн, тиха робота та просте керування забезпечують комфорт у щоденному використанні – незалежно від пори року.