מבצע ריגול איראני נוסף נחשף: חברת הסייבר מנדיאנט (Mandiant) של Google Cloud חושפת פעילות שנועדה לאסוף מידע על אזרחים איראנים, סורים ולבנונים ובפרט כאלו יוצאי שירותי ביון ומודיעין שעשויים לשתף פעולה עם ישראל. במנדיאנט מעריכים שהפעילות נועדה לשרת את המודיעין האיראני בפעילות מודיעין מסכל וריגול נגדי (Counter Intelligence) - פעולה שנוקטת מדינה במטרה לסכל ריגול של מדינה זרה בשטחה.
עוד בנושא ב-N12:
• "רוצים להתנקם בטראמפ": שיטות הפעולה של ההאקרים בשליחות איראן
• כך ניסו האקרים בשליחות איראן להסית את דעת הקהל העולמית נגד ישראל
• ישראלים או מתחזים איראניים? קבוצת ההאקרים שהתבלטה במלחמה
פעילות זו אקטואלית במיוחד על רקע דיווח על מעצרים שביצע המשטר האיראני במסגרת מאמציו להתחקות אחר מעורבים בחיסול בכיר חמאס איסמעיל הנייה בטהרן בסוף חודש יולי. גורמים רשמיים באיראן הכחישו את הדיווח.
החוקרים של מנדיאנט זיהו קשר חלש בין הקבוצה שעסקה בפעילות איסוף המידע לבין APT42 - קבוצת פריצה איראנית שנחשבת כפועלת מטעם ארגון המודיעין של משמרות המהפכה של איראן. רק לפני שבועיים גוגל הוציאה דוח על קבוצת APT42, ועל הפעילות שלה בניסיון לדלות מודיעין מהקמפיינים של המועמדים לנשיאות בארה"ב. בעבר שמה של הקבוצה נקשר בניסיונות לפרוץ לבכירים ישראלים, כולל מהתעשייה הצבאית ואף אנשי צבא ופוליטיקה.
הקמפיין שנחשף בידי מנדיאנט מתמקד בדוברי פרסית וערבית בעלי עניין בעבודה עם שירותי ביון, ומשתמש בסמלים ישראליים ובהצעות עבודה מזויפות בניסיון לפתות ולגייס את אותם אינדיבידואלים. עם הסמלים בהם השתמשו מפעילי הקמפיין נמנים דגל ישראל, חיילי צה"ל ומיקומים מרכזיים בישראל. הקבוצה האיראנית אוספת על אותם אינדיבידואלים מידע שעשוי לחשוף פעילויות מודיעין אנושי נגד איראן, בהם מתנגדי משטר, אקטיביסטים, פעילי זכויות אדם ודוברי פרסית וערבית באיראן ומחוצה לה.
הקמפיין הופעל מ-2017 ולפחות עד מרץ 2024, כלל הפצת הצעות עבודה מזויפות באמצעות פרופילים ועמודים ברשתות חברתיות כמו טוויטר ופייסבוק, ואסף מידע אישי דוגמת שם מלא, כתובת, מייל, השכלה וניסיון תעסוקתי. במסגרת הקמפיין זיהו במנדיאנט יותר מ-35 אתרים מזויפים שמתחזים לחברות השמה ומשאבי אנוש, וכן עמודי טלגרם, פרופילי טוויטר, פייסבוק ויוטיוב, ומספרי טלפון ישראליים בשימוש הקבוצה האיראנית.
עם הפוסטים לדוגמה שצירפו חוקרי מנדיאט כאלו הכוללים תמונות המציגות לכאורה לוחמי יחידה מיוחדת בצה"ל או צוות של מפעילי כטב"מים בחיל האוויר, ובצמד אליהם טקסט ובו נכתב: "בשנה האחרונה הצלחנו לגייס מאות אנשי מודיעין וסייבר מקצועיים ולהשיג הישגים חסרי תקדים ברמה העולמית. אם יש לך ניסיון מודיעיני וסייברי, הצטרף אלינו".
החשיפה של מנדיאנט היא עוד דוגמה לרשת הריגול הרחבה שמפעיל המשטר האיראני באינטרנט, והדרך המתוחכמת שבה קבוצות פריצה איראניות משתמשות בהנדסה אנושית על מנת לפתות קורבנות ברשת ולאסוף עליהם מידע.