Irańska grupa hakerska Screening Serpens prowadzi kampanię cyberszpiegowską wymierzoną w specjalistów z branży technologicznej i obronnej – wynika z analizy Unit 42, zespołu Palo Alto Networks. Przestępcy podszywają się pod rekruterów i wysyłają wiarygodnie wyglądające oferty pracy. W tle są napięcia geopolityczne, ale dla firm najważniejszy jest inny wniosek: fałszywe rekrutacje mogą stać się początkiem ataku na organizację.
Screening Serpens, znana też jako „Iranian Dream Job”, jest aktywna co najmniej od 2022 roku. Według analityków Unit 42 grupa rozwinęła działalność z regionalnego zagrożenia w globalną operację cyberprzestępczą.
W lutym 2026 roku badacze odnotowali wyraźny wzrost jej aktywności. Kampania trwała mimo poważnych ograniczeń dostępu do internetu w samym Iranie. Ataki objęły m.in. podmioty w USA, Izraelu, Zjednoczonych Emiratach Arabskich i Europie Zachodniej.
Oferta pracy, która otwiera drogę do twojego komputera
Mechanizm ataku zaczyna się od socjotechniki. To metoda, w której przestępca manipuluje człowiekiem, zamiast od razu łamać zabezpieczenia techniczne.
Zapomnijmy o masowym spamie trafiającym do tysięcy przypadkowych skrzynek. W tej kampanii cyberprzestępcy stawiają na cyfrowy rzemiosło: tworzą rygorystycznie spersonalizowane oferty pracy, podszywają się pod znane firmy i platformy rekrutacyjne, a następnie kierują fałszywe rekrutacje do osób z konkretnymi kompetencjami. Na celowniku są przede wszystkim inżynierowie oprogramowania i specjaliści IT z sektora lotniczego, obronnego oraz telekomunikacyjnego. To osoby, które mogą mieć dostęp do wiedzy, systemów albo kontaktów cennych dla szpiegów.
Przynętą jest pozornie niegroźny plik ZIP z warunkami zatrudnienia. Gdy nieświadoma ofiara klika w link, myśląc, że loguje się do platformy z testami rekrutacyjnymi, w tle rusza już machina: uruchamia instalację złośliwego oprogramowania, które służy do szpiegowania i przejmowania danych.
Hakerzy chowają się w legalnych mechanizmach
Screening Serpens używa złośliwego kodu z rodzin MiniUpdate i MiniJunk V2. Ostatnie działania tej grupy wyróżnia jednak coś więcej niż sam malware. Analitycy Unit 42 opisują technikę AppDomainManager hijacking. W uproszczeniu polega ona na przejęciu kontroli nad procesem już podczas uruchamiania aplikacji .NET, czyli programu działającego w popularnym środowisku Microsoftu.
Zamiast omijać zabezpieczenia już działającego programu, hakerzy ingerują w sam start aplikacji. Wykorzystują do tego legalne pliki konfiguracyjne. Dzięki temu złośliwy kod może ruszyć bardzo wcześnie, zanim właściwa aplikacja i część zabezpieczeń zaczną działać.
To utrudnia wykrycie ataków, których źródłem są fałszywe rekrutacje. Przestępcy mogą ograniczać widoczność swojej aktywności dla narzędzi monitorujących Windows, a potem utrzymywać dostęp do zainfekowanego systemu. Wykorzystują m.in. Harmonogram Zadań Windows i ukrywają procesy pod nazwami przypominającymi moduły systemowe, takimi jak „WindowsSecurityUpdate”.
Same sygnatury już nie wystarczą
– Wraz z rozwojem grup cyberprzestępców, takich jak Screening Serpens, które coraz częściej wykorzystują zaawansowane technologie, tradycyjne zabezpieczenia przestają być wystarczające. Organizacje potrzebują dziś wielowarstwowego podejścia do ochrony opartego na analizie zachowań, a nie tylko sygnatur złośliwych plików. Kluczowe jest wykrywanie już na etapie uruchomienia aplikacji nietypowych działań, takich jak AppDomain Hijacking czy wyłączanie telemetryki systemowej. Dzięki temu możliwe jest zatrzymanie złożonych ataków, zanim w pełni się rozwiną. Monitorowanie zachowania aplikacji staje się podstawą skutecznej, proaktywnej ochrony – mówi Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej.
Sygnatura złośliwego pliku działa jak odcisk palca znanego zagrożenia. Jeśli system rozpoznaje plik jako groźny, może go zablokować. Problem zaczyna się wtedy, gdy atak jest nowy, ukryty w legalnych mechanizmach albo zmienia się szybciej niż baza rozpoznanych zagrożeń.
Dlatego firmy powinny patrzeć na zachowanie aplikacji. Jeśli program podczas uruchamiania robi coś nietypowego, wyłącza telemetrię albo próbuje ukryć proces, system bezpieczeństwa powinien wykryć anomalię nawet wtedy, gdy sam plik nie figuruje jeszcze w bazie malware.
Polska zna ten problem aż za dobrze
Kampania opisana przez Unit 42 koncentruje się głównie na osi USA-Izrael-Zjednoczone Emiraty Arabskie. Nie znaczy to jednak, że polskie firmy mogą potraktować temat jako odległy.
Skalę wyzwania nad Wisłą obrazują najnowsze twarde dane. Z raportu CERT Polska za 2025 rok wyłania się wręcz porażający obraz: oszustwa komputerowe, na czele z phishingiem, zdominowały cyberprzestrzeń, odpowiadając za 97,1 proc. wszystkich zarejestrowanych incydentów. Łącznie chodziło o 253 238 przypadków.
Phishing to podszywanie się pod zaufaną osobę, firmę albo instytucję w celu wyłudzenia danych, pieniędzy lub dostępu do systemu. W przypadku fałszywych rekrutacji przynętą nie jest faktura, dopłata do paczki czy alert bankowy, lecz atrakcyjna oferta pracy.
Polscy eksperci znają też problem technik typu „Living-off-the-Land”. To ataki, w których przestępcy wykorzystują legalne narzędzia systemowe lub powszechnie używane aplikacje. Dla zespołów SOC, czyli centrów monitorowania bezpieczeństwa, to szczególnie trudne, bo granica między normalnym działaniem systemu a atakiem bywa cienka.
Oferty pracy stają się źródłem ryzyka
Fałszywe rekrutacje pokazują, że cyberatak nie musi zaczynać się od oczywistego podejrzanego linku. Może zacząć się od wiadomości, która wygląda jak szansa na awans, lepszą pensję albo ciekawy projekt. Co muszą zrobić firmy, aby się chronić? Przede wszystkim zmienić myślenie o bezpieczeństwie. Rekrutacja, kontakt z kandydatami, testy techniczne i wymiana plików nie są już tylko zadaniem HR. To także obszar, w którym organizacja może zostać wystawiona na ryzyko.
Szczególnie narażone są branże, w których pracownicy mają dostęp do wrażliwej wiedzy technicznej. Lotnictwo, obronność, telekomunikacja i sektor technologiczny są atrakcyjnym celem, bo informacje z tych obszarów mogą mieć wartość wywiadowczą.
Ataki Screening Serpens łączą dwie rzeczy: precyzyjnie przygotowaną manipulację i techniki pozwalające ukrywać złośliwe działania w systemie. Właśnie ta kombinacja sprawia, że pojedyncza wiadomość rekrutacyjna może zamienić się w wieloetapową operację szpiegowską.
Firmy muszą szkolić ludzi i patrzeć na systemy
Wnioski z analizy Unit 42 są dla firm dość proste, ale niewygodne: sama technologia ochrony nie wystarczy, jeśli pracownik uwierzy w fałszywą rekrutację i uruchomi plik od napastnika.
Potrzebne są więc dwa poziomy obrony. Pierwszy to edukacja pracowników, zwłaszcza osób z dostępem do ważnych systemów i danych. Drugi to narzędzia, które wykrywają nietypowe zachowanie aplikacji oraz reagują, zanim atak rozwinie się w pełni. To szczególnie ważne w epoce, w której sztuczna inteligencja ułatwia przygotowanie wiarygodnych wiadomości, a grupy cyberszpiegowskie korzystają z legalnych mechanizmów systemowych. Atak nie musi wyglądać jak atak, bo czasem zaczyna się od wiadomości o wymarzonej pracy.
Polecamy także:
- Brexit miał dać niezależność. Po dekadzie widać rachunek dla gospodarki
- Tydzień nad Bałtykiem za prawie 10 tys. zł. Wakacyjne ceny znów rosną
- Rynek najmu dostaje kolejny impuls. Studentów jest znacznie więcej niż miejsc w akademikach
