Công ty bảo mật doanh nghiệp Proofpoint (California) gọi tên chiến dịch là "Operation SpoofedScholars", do tổ chức gọi là TA453 thực hiện - một tin tặc có mối liên hệ đáng ngờ với Iran nhằm vào các tổ chức liên quan đến chính phủ, công nghệ quốc phòng, quân sự và ngoại giao. Nhóm tác chiến mạng của chính phủ Iran bị nghi ngờ thực hiện các nỗ lực tình báo thay cho Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).

Các mục tiêu được xác định bao gồm các chuyên gia về các vấn đề Trung Đông từ các tổ chức tư vấn, giáo sư cấp cao từ các tổ chức học thuật nổi tiếng... Các nhà nghiên cứu cho biết "Chiến dịch cho thấy một bước phát triển mới và sự tinh vi trong các phương pháp tấn công của TA453."

Ở một diễn biến khác, nhóm tin tặc đóng giả là các học giả người Anh liên hệ với một nhóm nạn nhân được chọn lọc kỹ lưỡng. Qua đó, đánh lừa nạn nhân nhấp vào liên kết đăng ký tới một hội nghị trực tuyến được thiết kế để đánh cắp các thông tin xác thực từ Google, Microsoft, Facebook và Yahoo.

Để tạo ra sự tin tưởng, các thông tin xác thực được lưu trữ trên một trang web chính thức nhưng bị xâm phạm thuộc Trường Nghiên cứu Phương Đông và Châu Phi (SOAS) của Đại học London, sử dụng các trang thu thập thông tin xác thực được cá nhân hóa ngụy trang dưới dạng liên kết đăng ký sau đó được chuyển đến người nhận.

Trong một trường hợp, TA453 được cho là đã gửi một email thu thập thông tin xác thực đến một mục tiêu vào tài khoản email cá nhân của họ. Các nhà nghiên cứu cho biết: "TA453 đã làm tăng độ tin cậy của việc thu thập thông tin xác thực bằng cách mạo danh học giả để cung cấp các liên kết gây hại".

Các cuộc tấn công được cho là đã bắt đầu từ tháng 1/2021, trước khi nhóm chuyển đổi chiến thuật một cách tinh vi trong các chiêu trò lừa đảo qua email tiếp theo.

Đây không phải là lần đầu tiên tin tặc thực hiện các cuộc tấn công lừa đảo để đánh cắp thông tin xác thực. Đầu tháng 3/2021, Proofpoint đã trình bày chi tiết về một chiến dịch "BadBlood" nhắm mục tiêu vào các chuyên gia y tế cao cấp chuyên nghiên cứu về di truyền, thần kinh học và ung thư học ở Israel và Hoa Kỳ.

Các nhà nghiên cứu cho biết: “TA453 có được quyền truy cập bất hợp pháp vào một trang web thuộc một tổ chức học thuật đẳng cấp thế giới để tận dụng cơ sở hạ tầng bị xâm phạm để thu thập thông tin xác thực của các mục tiêu chủ đích, sử dụng cơ sở hạ tầng hợp pháp".

Người phát ngôn của SOAS cho biết: "Chúng tôi hiểu rằng tin tặc đã tạo tài khoản Gmail để mạo danh học giả và tạo một trang web giả để tìm cách thu thập dữ liệu từ những người mà chúng nhắm mục tiêu. Trang web giả này được đặt trên trang web của SOAS Radio - một đài phát thanh trực tuyến độc lập và sản xuất công ty có trụ sở tại SOAS. Trang web này tách biệt với trang web SOAS chính thức và không thuộc bất kỳ lĩnh vực học thuật nào của chúng tôi. Chúng tôi nghĩ rằng mục tiêu không phải là SOAS mà là các cá nhân bên ngoài. Các nhân viên học thuật tại SOAS tất nhiên không tham gia vào quá trình này, cũng như không có bất kỳ hành động hoặc tuyên bố nào của nhân viên SOAS dẫn đến việc họ bị giả mạo theo cách này. Không có ý kiến cho rằng bất kỳ nhân viên SOAS nào đã vi phạm an ninh mạng.

Liên quan đến việc tạo trang web giả, không có thông tin cá nhân nào được lấy từ SOAS và không có hệ thống dữ liệu nào của chúng tôi (ví dụ: hồ sơ nhân viên và học sinh, thông tin tài chính, email...) có liên quan hoặc bị ảnh hưởng bởi điều này. Khi chúng tôi phát hiện ra trang web giả vào đầu năm nay, chúng tôi đã ngay lập tức khắc phục và báo cáo các vi phạm".

Sự việc cho thấy, Nhóm tin tặc TA453 ngày càng thể hiện sự gia tăng mức độ tinh vi trong các chiến dịch tấn công như liên tục đổi mới và thu thập thông tin để hỗ trợ các ưu tiên thu thập của IRGC.