קמפיין ריגול סייבר רחב היקף המופעל על ידי שלוחות איראניות נחשף לאחרונה, כאשר היעדים המרכזיים למתקפה נמצאים בלב המזרח התיכון, בדגש על ישראל, סעודיה ואיחוד האמירויות, לצד מטרות נוספות בארצות הברית. לפי הממצאים, הפעילות העוינת מנוהלת על ידי קבוצה המכונה "Screening Serpens", אשר פיתחה שיטות חדירה מתוחכמות כדי להערים על מנגנוני אבטחה של ארגונים מובילים.
על פי הדוח שפורסם על ידי צוותי המחקר של UNIT 42 מחברת "פאלו אלטו נטוורקס", התוקפים ניצלו את תקופת הזמן שבין אמצע פברואר לאפריל 2026 כדי להוציא לפועל את תוכניתם, כאשר עיתוי הפעולות אינו מקרי ומסונכרן היטב עם ההסלמה האזורית שהחלה ב-28 בפברואר 2026, על רקע מבצע "שאגת הארי".
במסגרת מאמצי הריגול, זוהו שש גרסאות חדשות של סוסים טרויאניים לגישה מרחוק שפותחו באופן ייעודי לתקופה זו. הגרסאות הללו חולקו לשתי משפחות נוזקה נפרדות שהופעלו במקביל, כאשר החוקרים מציינים כי: "על בסיס עיתוי ההפעלה, הניתוח שלנו מצביע על שני גלי מתקפות סייבר מתואמים. לפחות אחת מהגרסאות קודדה והופעלה עם הוראות תזמון ייעודיות".
הפריצה המדאיגה ביותר בשיטות העבודה של הקבוצה טמונה ביכולתם לנטרל את שכבות ההגנה הפנימיות של המערכות. הטכניקה שבה נקטו כוללת שימוש בקובץ קונפיגורציה לגיטימי לכאורה, שבאמצעותו הם מצליחים להשתיק את מנגנוני האבטחה של היישומים ולפתוח דלת אחורית לחדירת הנוזקות.
חוקרי "פאלו אלטו נטוורקס" הסבירו כי "נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב־תכליתיות שהופעלו במסגרת המתקפה". החשיפה מבהירה כי קבוצת הריגול האיראנית פועלת בשיטתיות ובאופן מתוחכם במטרה להישאר חבויה בתוך הרשתות הארגוניות לאורך זמן, בעוד היא דולה מידע רגיש מיעדים אסטרטגיים.
