主な調査結果
- 2025年6月から8月にかけて、プルーフポイントのリサーチャーは、学者や外交政策の専門家を標的とする、これまで特定されていなかった脅威アクター「UNK_SmudgedSerpent(にじんだ蛇)」の追跡を開始しました。
- UNK_SmudgedSerpentは、イランにおける社会変化やIRGC(イラン革命防衛隊)の軍事化に関する調査といった、国内政治に関連するテーマをおとりとして利用しました。
- この脅威アクターは、無害な会話のきっかけを装った手法や、健康関連をテーマにしたインフラ、OnlyOfficeのファイルホスティングを偽装した仕組み、さらにはリモート管理・監視(RMM)ツールを使用していました。
- 調査全体を通じて、UNK_SmudgedSerpentは、いくつかのイラン関連アクター(TA455[C5 Agent、Smoke Sandstorm]、TA453[Charming Kitten、Mint Sandstorm]、TA450[MuddyWater、Mango Sandstorm])に類似した戦術を示しました。
- TTP(戦術・技術・手順)の重複により、高い確度でのアトリビューション判断は困難ですが、UNK_SmudgedSerpentと他のイラン系グループとの関係性を説明できるいくつかの仮説が考えられます。
概要
6月、プルーフポイントの脅威リサーチチームは、イランにおける経済的不確実性や国内の政治的不安について議論する、一見無害なメールの調査を開始しました。この活動はイラン・イスラエル間の紛争の激化と時期的に重なっていましたが、観測された活動がイスラエルによるイラン核施設への攻撃や、それに対するイランの報復行動と直接関連していることを示す兆候はありませんでした。
この活動の初期分析では、複数のイラン関連グループと戦術・技術・手順(TTP)の重複が見られました。具体的には、TA455(C5 Agent、Smoke Sandstorm)、TA453(Mint Sandstorm、Charming Kitten)、TA450(MuddyWater、Mango Sandstorm)などです。いずれかの既知の脅威グループと高い確度で関連付けることができなかったため、プルーフポイントではこの活動を一時的なクラスタとして「UNK_SmudgedSerpent(にじんだ蛇)」と命名しました。
図1. 既知のアクターとの重複を含むUNK_SmudgedSerpentの感染チェーン
この感染チェーンは、一見無害な会話から始まり、その後にメールのやり取りと認証情報を収集する試みへと発展しました。この初回の認証情報収集の後も、UNK_SmudgedSerpentは同じメールスレッド内で特定の標的に対してフィッシング活動を継続し、その後、RMMペイロードを読み込むMSIファイルを含むアーカイブファイルをホストするURLを送信しました。
イランとの関連性
TA453との初期的な関連
プルーフポイントのデータ内で確認されたUNK_SmudgedSerpentの最初の攻撃キャンペーンは、ブルッキングス研究所のメンバーを装い、2025年6月中旬に米国のシンクタンクのメンバー20名以上に接触していました。イラン関連政策分野の専門家を標的にすることは、特に無害な会話のきっかけを利用するTA453の典型的な活動パターンです。しかし、1つの組織内の多数の個人を同時に狙う手法は、プルーフポイントの脅威リサーチチームがこれまでに観測してきたTA453の一般的な手口とは異なっていました。
さらに、通常のTA453の活動とは異なり、標的となった組織のメンバーは、国家防衛、先端技術、経済安全保障、グローバルヘルスといった幅広い分野の専門家であり、地域特化の研究者も含まれていました。TA453は通常、イランの核交渉や外交関係といった中東政策に焦点を当てています。標的となった各受信者の専門分野にかかわらず、UNK_SmudgedSerpentは「差し迫ったイラン社会改革に関する協力」という同一のおとりメッセージを利用していました。
攻撃者は、ブルッキングス研究所の副所長であり外交政策プログラムのディレクター、またイラン専門家であるスザンヌ・マロニー(Suzanne Maloney)氏になりすまし、「Suzzane Maloney」という名前のスペルミスを含むGmailアドレスを使用していました。
図2. UNK_SmudgedSerpentによる初期のアプローチ
返信を受け取った後、この「Suzzane Maloney」を名乗る人物は、プルーフポイントが過去に観測したTA453のやり取りに比べ、より慎重な態度を示しました。攻撃者は、協力を進める前に、標的の身元とメールアドレスの正当性を確認することに強くこだわりました。
図3. UNK_SmudgedSerpentによるフォローアップメール
やり取りが続く中で、このなりすまし人物は会議の予定時刻を提示しました。その際、標的は米国に所在していたにもかかわらず、イスラエル時間を基準としてスケジュールを示しました。配信段階に入ると、攻撃者はTA453の典型的なTTP(戦術・技術・手順)から逸脱し、「Suzzane Maloney」(再びスペルミス)名義のOnlyOfficeのURLに見せかけたリンクを送り、今後の会議に関連する文書が含まれているように装いました。
図4. UNK_SmudgedSerpentによるURLの送信
TA455への移行
メール内で使用されていたURLはOnlyOfficeのリンクを装っていましたが、実際には健康関連をテーマにした攻撃者のドメイン thebesthomehealth[.]comにハイパーリンクされており、そこから別の健康関連ドメインmosaichealthsolutions[.]comへリダイレクトされ、Microsoft 365のログインページが表示されました。このURLは、ユーザーの情報があらかじめ入力されたカスタマイズ済みの認証情報収集ページをホストしていました。
図5. カスタマイズされたMicrosoft認証情報収集ページ
配信のバリエーション
この感染チェーンの別のバージョンはVirusTotal上で確認されており、両方のドメインがMicrosoft関連のリダイレクトチェーンに類似した形で使用されていました。hxxps://thebesthomehealth[.]com/[redacted15characterstring]はMicrosoft Teamsのログイン画面を装い、その後mosaichealthsolutions[.]comドメインへリダイレクトされました。
図6. Microsoft Teams会議を偽装した画面(VirusTotal)
しかし、「Join Now(今すぐ参加)」ボタンをクリックした後の次の段階については、執筆時点では明らかになっていません。
TA455の活動の継続
プルーフポイントの調査によると、標的が認証情報収集ページに対して不審を示した後、UNK_SmudgedSerpentは最初のthebesthomehealth[.]comのURLにおけるパスワード入力要件を削除しました。その後、このリンクはOnlyOfficeのログインページを偽装したページへ誘導されました。
図7. UNK_SmudgedSerpentによるOnlyOfficeログイン画面の偽装
「Continue(続行)」またはログインをクリックすると、thebesthomehealth[.]com上にホストされた別のページが読み込まれました。このページもOnlyOfficeに似たデザインで、2つのPDFファイル、1つのExcelドキュメント、そして1つのZIPアーカイブがホストされていました。
図8. thebesthomehealth[.]com上にホストされていたファイル群
UNK_SmudgedSerpentがOnlyOfficeのURLや健康関連ドメインを参照していた点は、TA455の活動を想起させます。TA455は、少なくとも2024年10月以降、航空宇宙分野に関連するドメインを継続的に登録してきましたが、その後、健康関連ドメインの登録を開始し、2025年6月にはOnlyOfficeをファイルホスティング用に利用する傾向が顕著になりました。以下のタイムラインがその変遷を示しています。
図9. TA455のドメイン登録および初回観測タイムライン(2024年5月〜2025年7月)
UNK_SmudgedSerpentによるドメインは2025年4月に初めて確認されており、6月に最初の攻撃キャンペーンが観測される数週間前にすでに登場していました。
TA450との関連によるチェーンの完成
実行時、UNK_SmudgedSerpentのZIPアーカイブはMSIファイルを読み込み、このファイルがPDQConnectというリモート監視・管理(RMM)ソフトウェアを起動しました。その他の文書はおとり(デコイ)として見せかけられていました。
プルーフポイントのリサーチャーによる調査の中で、UNK_SmudgedSerpentが実際に手動操作を伴う活動(hands-on-keyboard)を行っている様子が確認されました。攻撃者はPDQConnectを利用して、追加のRMMソフトウェアであるISL Onlineをインストールしていました。
図10. ISL Online RMMのポップアップ画面
攻撃者が2種類の異なるRMMツールを連続して展開した理由は明らかではありません。UNK_SmudgedSerpentは、認証情報の収集がうまくいかなかった後にRMMソフトウェアを「使い捨ての代替手段」として展開した可能性があります。また、脅威アクターがプルーフポイントによる調査の存在に気付き、警戒を強めた可能性もあります。しかし、執筆時点ではどちらの仮説も確認されていません。
RMMツールの利用は、一般的には正規ツールを悪用する汎用的な手法ですが、国家支援型アクターとの関連が確認されることは稀です。これまでのところ、過去数年間のTA450(MuddyWater)による攻撃キャンペーンでのみ、その使用が記録されています。
その後の活動
6月26日に前述のメールのやり取りが終了する前、プルーフポイントは6月23日に、Dr.マロニーを(今度は正しく綴った名前で)偽装した追加のGmailアカウントsuzannemaloney68@gmail[.]comを特定しました。このアカウントは、イスラエル人とみられる米国在住の学者を標的としていました。このフィッシングメールにおいて、UNK_SmudgedSerpentはIRGC(イラン革命防衛隊)の調査への協力を求めていました。
図11. UNK_SmudgedSerpentによる2通目のフィッシングメール
1週間後、別のなりすまし人物が登場しました。今度はワシントン・インスティテュートのディレクターであるパトリック・クローソン(Patrick Clawson)氏を装い、同じ学者を標的として、全く同一の内容を使用していました。使用されたメールアドレスはpatrickclawson51@gmail[.]comでした。
2025年8月初旬、UNK_SmudgedSerpentは再び活動を見せ、今度はイランがラテンアメリカで展開している取り組みに関する情報や協力を求めるフィッシングメールを送信しました。このメールは再びパトリック・クローソン氏を装っており、今回はOutlookのメールアドレスpatrick.clawson51@outlook[.]comを使用していました。ただし、署名に記載されたメールアドレスは一致せず、正規のアドレスと思われるものと、以前に使用されていた偽装アドレスpatrickclawson51@gmail[.]comの両方が含まれていました。
図12. UNK_SmudgedSerpentによるパトリック・クローソン偽装メール(2回目)
以下のタイムラインは、UNK_SmudgedSerpentの活動キャンペーンとその頻度を示しています。その活動はテーマ性が強く、かつ散発的であることがわかります。最初に20人以上を標的としたアプローチの後、プルーフポイントのデータでは、このアクターが以降の攻撃キャンペーンで単独の標的に集中していたことが確認されました。
図13. UNK_SmudgedSerpentのフィッシング活動タイムライン
8月初旬以降、このアクターによる新たな活動は確認されていません。
インフラストラクチャ
プルーフポイントがhealthcrescent[.]comのようなUNK_SmudgedSerpentに関連していると疑われるインフラを調査したところ、UNK_SmudgedSerpentとTA455との関係をさらに複雑にする追加の活動が確認されました。
healthcrescent[.]comは、ebixcareers[.]comを含む一連のドメインとサーバー構成の類似点を共有しており、これらのドメインは偽のTeamsポータルを表示していました。キャリア関連のテーマドメインやTeamsの偽装は、どちらも過去に見られたTA455の活動を想起させるものでした。
図14. 偽のTeamsポータルのランディングページ
関連するURLは、過去にTA453の活動で見られた「会議」や「ミーティング」といったテーマを利用したものに似ていました。hxxps://interview.ebixcareers[.]com/teams/join-online-room-homv-patm-elro/は、以下のOnlyOffice URLからペイロードを取得していました。
hxxps://docspace-mpv1y2.onlyoffice[.]com/rooms/share?key=ZXVSTEhNKzM3NHBIeHg3R3M4cnBRcDFDUnk0b[…]0_Ijg4YzkzZTRhLWNmYzktNGJkMy1iYzYyLWY2NWY0OTczNTBlZCI
図15. OnlyOfficeのURL上にホストされていたファイル
9月中旬にこのページ上でホストされていたファイルには、ボーイング社に関する採用関連の無害なPDFが含まれていました。これは、航空宇宙分野およびキャリア関連のテーマを扱うTA455の典型的な活動パターンと一致しています。
図16. 無害なPDFファイル
Hiring Portal.zipには、2つのDLLファイルと1つの実行ファイル(EXE)が含まれていました。正規のEXEはuserenv.dllをサイドロードし、別の正規のEXEを通じてxmllite.exeをサイドロードしていました。userenv.dllは、TA455が独自に開発したバックドアであり、公開レポートではMiniJunkと呼ばれています。これは以前報告されたMiniBikeというマルウェアの派生版です。このインフラはUNK_SmudgedSerpentと一致する可能性が高いものの、なぜ同時にTA455の独自マルウェアをホストしているのかは明らかではありません。
OnlyOfficeのURL上で最後にホストされていたファイルはInterview time.msiであり、これはRMMツール「PDQConnect」をインストールするローダーでした。このツールはUNK_SmudgedSerpentおよびTA450の活動の両方で確認されていますが、TA455との関連はこれまで報告されていません。
UNK_SmudgedSerpentの活動に関連するインフラやオペレーションの分析は、攻撃者の帰属判断やTA455との関係性の境界を一層曖昧にしています。
アトリビューション分析
プルーフポイント脅威リサーチチームは、この活動を既知のグループ(TA453、TA455、TA450)とは区別し、新たな脅威アクター「UNK_SmudgedSerpent」として個別に追跡しています。感染チェーンのさまざまな段階で既存の脅威アクターとの重複がいくつか見られますが、以下に示す通り、その多くは確証を持って結びつけるには至っていません。
|
TTP |
UNK_SmudgedSerpent |
TA453 |
TA455 |
TA450 |
|
送信者メール |
フリーメール(Outlook、Gmail) |
フリーメール(Outlook、Gmail、ProtonMail、Yahoo) |
攻撃者が保有するドメイン |
侵害された企業アカウント |
|
初動アプローチ |
無害な会話 |
無害な会話 |
悪意ある採用応募 |
悪意あるイベント招待 |
|
標的 |
政策専門家、シンクタンク |
政策専門家、シンクタンク |
航空宇宙・防衛、運輸/ロジスティクス、テクノロジー |
政府、通信、運輸 |
|
配信手法 |
OnlyOfficeなりすまし、Teamsなりすまし |
Teamsなりすまし、Scalingo、OneDrive |
OnlyOffice |
Mega.nz、FliQR |
|
目的 |
資格情報窃取、マルウェア配信 |
資格情報窃取、マルウェア配信 |
マルウェア配信 |
マルウェア配信 |
|
ドメインのテーマ |
医療および採用、組織のなりすまし |
組織・ミーティング・Google・Microsoft・テクノロジーのなりすまし |
医療、航空宇宙、採用 |
テクノロジー、その他 |
|
インフラストラクチャ |
Cloudflare、Namecheap |
Hetzner、OVH、RouterHosting、Namecheap |
Cloudflare、Namecheap |
NordVPN、Cloudflare Namecheap |
|
マルウェア |
RMM(PDQConnect) |
PowerShellバックドア(時折) |
カスタムバックドア(MiniJunk、MINIBIKE、MINIBUS) |
RMM、カスタムPowerShellおよび.NETバックドア(Phoenix) |
イランのエコシステムは非常に動的であり、また委託企業を多用していることから、グループや活動、マルウェア、インフラが互いに交差する事例がしばしば見られます。私たちは、TTPが収束している理由として、可能性の高低はさまざまですが、いくつかの仮説が考えられるとみています。具体的には、次のような可能性があります。
- 中央調達:インフラを登録して配布する共有リソース、あるいは複数グループが共用するマルウェア開発者が存在する可能性。
- 人材の流動性:あるグループが解体され、別のグループがメンバーを吸収する、あるいは新たな要件や共通の任務に基づいてグループ同士が統合される可能性。
- 人間関係:同じチームに属する個々のメンバーが好むTTPが存在し、オペレーター同士が自分の好みの手法を共有し合っている可能性。
- 並行した委託先の投入:上位組織/支援機関が、特定の脅威グループや攻撃キャンペーンに対して、複数の委託企業に同時に任務を与えている可能性。
- 制度的な協力:異なる機関に属するという背景から、IRGCとMOISの間で組織レベルの機関横断的な連携や情報交換が行われている可能性。
結論
UNK_SmudgedSerpentが最初に確認された攻撃キャンペーンは2025年6月のものであり、その後、このグループはイラン国内の政治的動向をテーマとしたおとりを用いて、米国の政策専門家を標的とする活動を複数回行っていることが確認されました。調査の結果、TTPにはTA453、TA450、TA455との多くの重複が見られましたが、関連性が多岐にわたるがゆえに、これらのいずれか1つのグループに高い確度でアトリビューションを行うことは困難です。
UNK_SmudgedSerpentは、2025年8月以降はメールキャンペーンにおいて観測されていないものの、関連する活動は現在も継続している可能性があります。既存の手法を借用した新たなアクターの出現は、ミッションや任務の範囲が一貫している一方で、チーム間で人材の移動や人員交換が行われていることを示唆しています。しかし、執筆時点ではUNK_SmudgedSerpentに関する確定的な帰属は存在しません。TTPとインフラは、これまでに観測されてきたイランの脅威グループの行動を拡張したものであり、イランの外交政策専門家を標的とし続けている事実は、イラン政府の情報収集における優先事項が現在も変わっていないことを反映しています。
ET rules
2054935 - ET INFO PDQ Remote Management HTTP Header Observed (x-pdq-key-ids)
2054936 - ET INFO PDQ Remote Management User-Agent Observed (PDQ rover)
2054937 - ET INFO PDQ Remote Management Agent HTTP Activity
2054938 - ET INFO PDQ Remote Management Agent Checkin
2062767 - ET INFO Observed DNS Query to Online Document Sharing Service (onlyoffice .com)
2062768 - ET INFO Observed Online Document Sharing Service Domain (onlyoffice .com in TLS SNI)
2065399 - ET PHISHING Observed UNK_SmudgedSerpent Style URI
2065427 - ET MALWARE Observed DNS Query to TA455 Domain (msnapp .help)
2065434 - ET MALWARE Observed DNS Query to TA455 Domain (accountroyal .com)
2065439 - ET MALWARE Observed DNS Query to TA455 Domain (palaerospace .careers)
2065444 - ET MALWARE Observed DNS Query to TA455 Domain (msnapp .live)
2065448 - ET MALWARE Observed DNS Query to TA455 Domain (healthiestmama .com)
2065449 - ET MALWARE Observed DNS Query to TA455 Domain (mojavemassageandwellness .com)
2065450 - ET MALWARE Observed DNS Query to TA455 Domain (alwayslivehealthy .com)
2065451 - ET MALWARE Observed DNS Query to TA455 Domain (rhealthylivingsolutions .com)
2065452 - ET MALWARE Observed DNS Query to TA455 Domain (rheinmetallcareer .org)
2065453 - ET MALWARE Observed DNS Query to TA455 Domain (chakracleansetherapy .com)
2065454 - ET MALWARE Observed DNS Query to TA455 Domain (clearmindhealthandwellness .com)
2065455 - ET MALWARE Observed DNS Query to TA455 Domain (joinboeing .com)
2065456 - ET MALWARE Observed DNS Query to TA455 Domain (healthcarefluent .com)
2065459 - ET MALWARE Observed DNS Query to TA455 Domain (rheinmetallcareer .com)
2065464 - ET MALWARE Observed DNS Query to TA455 Domain (zytonhealth .com)
2065470 - ET MALWARE Observed DNS Query to TA455 Domain (sulumorbusinessservices .com)
2065475 - ET MALWARE Observed DNS Query to TA455 Domain (airbushiring .com)
2065481 - ET MALWARE Observed DNS Query to TA455 Domain (healthinfusiontherapy .com)
2065484 - ET MALWARE Observed DNS Query to TA455 Domain (bodywellnessbycynthia .com)
2065486 - ET MALWARE Observed DNS Query to TA455 Domain (careers-portal .org)
2065487 - ET MALWARE Observed TA455 Domain (msnapp .help in TLS SNI)
2065488 - ET MALWARE Observed TA455 Domain (accountroyal .com in TLS SNI)
2065489 - ET MALWARE Observed TA455 Domain (palaerospace .careers in TLS SNI)
2065490 - ET MALWARE Observed TA455 Domain (msnapp .live in TLS SNI)
2065491 - ET MALWARE Observed TA455 Domain (healthiestmama .com in TLS SNI)
2065493 - ET MALWARE Observed TA455 Domain (mojavemassageandwellness .com in TLS SNI)
2065495 - ET MALWARE Observed TA455 Domain (alwayslivehealthy .com in TLS SNI)
2065498 - ET MALWARE Observed TA455 Domain (rhealthylivingsolutions .com in TLS SNI)
2065501 - ET MALWARE Observed TA455 Domain (rheinmetallcareer .org in TLS SNI)
2065502 - ET MALWARE Observed TA455 Domain (chakracleansetherapy .com in TLS SNI)
2065503 - ET MALWARE Observed TA455 Domain (clearmindhealthandwellness .com in TLS SNI)
2065504 - ET MALWARE Observed TA455 Domain (joinboeing .com in TLS SNI)
2065505 - ET MALWARE Observed TA455 Domain (healthcarefluent .com in TLS SNI)
2065506 - ET MALWARE Observed TA455 Domain (rheinmetallcareer .com in TLS SNI)
2065507 - ET MALWARE Observed TA455 Domain (zytonhealth .com in TLS SNI)
2065508 - ET MALWARE Observed TA455 Domain (sulumorbusinessservices .com in TLS SNI)
2065509 - ET MALWARE Observed TA455 Domain (airbushiring .com in TLS SNI)
2065510 - ET MALWARE Observed TA455 Domain (healthinfusiontherapy .com in TLS SNI)
2065511 - ET MALWARE Observed TA455 Domain (bodywellnessbycynthia .com in TLS SNI)
2065512 - ET MALWARE Observed TA455 Domain (careers-portal .org in TLS SNI)
2065513 - ET PHISHING Observed DNS Query to UNK_SmudgedSerpent Domain (mosaichealthsolutions .com)
2065514 - ET PHISHING Observed DNS Query to UNK_SmudgedSerpent Domain (ebixcareers .com)
2065515 - ET PHISHING Observed DNS Query to UNK_SmudgedSerpent Domain (healthcrescent .com)
2065516 - ET PHISHING Observed DNS Query to UNK_SmudgedSerpent Domain (thebesthomehealth .com)
2065517 - ET PHISHING Observed UNK_SmudgedSerpent Domain (mosaichealthsolutions .com in TLS SNI)
2065518 - ET PHISHING Observed UNK_SmudgedSerpent Domain (ebixcareers .com in TLS SNI)
2065519 - ET PHISHING Observed UNK_SmudgedSerpent Domain (healthcrescent .com in TLS SNI)
2065520 - ET PHISHING Observed UNK_SmudgedSerpent Domain (thebesthomehealth .com in TLS SNI)
IoC (Indicator of Compromise / 侵害指標)
|
UNK_SmudgedSerpent |
|||
|
Indicator |
Type |
Description |
First Seen |
|
suzzanemaloney@gmail[.]com |
Email address |
Phishing |
June 2025 |
|
suzannemaloney68@gmail[.]com |
Email address |
Phishing |
June 2025 |
|
patrickclawson51@gmail[.]com |
Email address |
Phishing |
June 2025 |
|
patrick.clawson51@outlook[.]com |
Email address |
Phishing |
August 2025 |
|
hxxps://suzzanemaloney2506090953.onlyoffice[.]com/s.-k6vjflsdagdsfgh |
URL |
Delivery |
June 2025 |
|
thebesthomehealth[.]com |
Domain |
Delivery |
April 2025 |
|
mosaichealthsolutions[.]com |
Domain |
Delivery |
April 2025 |
|
healthcrescent[.]com |
Domain |
Delivery |
May 2025 |
|
ebixcareers[.]com |
Domain |
Delivery |
July 2025 |
|
6eb7df21d6f1e3546c252a112504eefbb19205167db89038f2861118bbc8871c |
SHA256 |
Benign PDF |
September 2025 |
|
0bdb64fc1d5533f7b3fffaf821e89f286ad2d7400a914f21abdcbb7bb8a39e63 |
SHA256 |
Benign PDF |
September 2025 |
|
cac018dccdf6ce4bef19ab71e3e737724aed104bc824332a5213c878b065ff50 |
SHA256 |
EXE |
September 2025 |
|
7b5fb8202bff90398ab007579713f66430778249e43b46f35df6c3ded628f129 |
SHA256 |
DLL |
September 2025 |
|
129a40e38ef075c7d33d8517b268eb023093c765a32e406b58f39fab6cc6a040 |
SHA256 |
DLL |
September 2025 |
|
85858880ee7659cc1152b6a126bc20b9b4fb1b46dddea5af2d65d48d58cd058 |
SHA256 |
MSI |
September 2025 |
|
0fcdaa2f4db94e0589617830d3d80430627815ef0e4b0c7b7ff5c1ebb82a4136 |
SHA256 |
Benign PDF |
September 2025 |
|
1e9c31ce0eba2100d416f5bc3b97dafe2da0d3d9aee96de59ec774365fe3fe89 |
SHA256 |
ZIP |
September 2025 |
|
TA455 |
|||
|
Indicator |
Type |
Description |
First Seen |
|
emiratesgroup-careers[.]com |
Domain |
Related infrastructure |
May 2024 |
|
flydubai-careers[.]com |
Domain |
Related infrastructure |
May 2024 |
|
airbusgroup-careers[.]com |
Domain |
Related infrastructure |
May 2024 |
|
gocareers[.]org |
Domain |
Related infrastructure Related infrastructure |
June 2024 |
|
rheinmetallcareers[.]com |
Domain |
Related infrastructure |
June 2024 |
|
careers2find[.]com |
Domain |
Related infrastructure |
June 2024 |
|
opportunities2get[.]com |
Domain |
Related infrastructure |
June 2024 |
|
emiratescareers[.]org |
Domain |
Related infrastructure |
July 2024 |
|
droneflywell[.]com |
Domain |
Related infrastructure |
July 2024 |
|
usa-careers[.]com |
Domain |
Related infrastructure |
August 2024 |
|
careers-hub[.]org |
Domain |
Related infrastructure |
September 2024 |
|
global-careers[.]com |
Domain |
Related infrastructure |
September 2024 |
|
ehealthpsuluth[.]com |
Domain |
Related infrastructure |
September 2024 |
|
worldcareers[.]org |
Domain |
Related infrastructure |
September 2024 |
|
uavnodes[.]com |
Domain |
Related infrastructure |
September 2024 |
|
careersworld[.]org |
Domain |
Related infrastructure |
September 2024 |
|
thecareershub[.]org |
Domain |
Related infrastructure |
September 2024 |
|
germanywork[.]org |
Domain |
Related infrastructure |
September 2024 |
|
easymarketing101[.]com |
Domain |
Related infrastructure |
September 2024 |
|
collaboromarketing[.]com |
Domain |
Related infrastructure |
September 2024 |
|
virgomarketingsolutions[.]com |
Domain |
Related infrastructure |
September 2024 |
|
marketinglw[.]com |
Domain |
Related infrastructure |
September 2024 |
|
anteromarketing[.]com |
Domain |
Related infrastructure |
September 2024 |
|
airbusaerodefence[.]nl |
Domain |
Related infrastructure |
November 2024 |
|
dronetechasia[.]org |
Domain |
Related infrastructure |
November 2024 |
|
asiandefenses[.]com |
Domain |
Related infrastructure |
November 2024 |
|
msnclouds[.]com |
Domain |
Related infrastructure |
November 2024 |
|
kibanacore[.]com |
Domain |
Related infrastructure |
November 2024 |
|
boeingspace[.]com |
Domain |
Related infrastructure |
November 2024 |
|
airbusaerodefence[.]com |
Domain |
Related infrastructure |
December 2024 |
|
jadehealthcenter[.]com |
Domain |
Related infrastructure |
December 2024 |
|
clearmindhealthandwellness[.]com |
Domain |
Related infrastructure |
January 2025 |
|
accountroyal[.]com |
Domain |
Related infrastructure |
January 2025 |
|
msnapp[.]help |
Domain |
Related infrastructure |
January 2025 |
|
msnapp[.]live |
Domain |
Related infrastructure |
January 2025 |
|
zytonhealth[.]com |
Domain |
Related infrastructure |
February 2025 |
|
alwayslivehealthy[.]com |
Domain |
Related infrastructure |
February 2025 |
|
healthiestmama[.]com |
Domain |
Related infrastructure |
February 2025 |
|
healthcarefluent[.]com |
Domain |
Related infrastructure |
February 2025 |
|
healthinfusiontherapy[.]com |
Domain |
Related infrastructure |
February 2025 |
|
mojavemassageandwellness[.]com |
Domain |
Related infrastructure |
February 2025 |
|
chakracleansetherapy[.]com |
Domain |
Related infrastructure |
February 2025 |
|
bodywellnessbycynthia[.]com |
Domain |
Related infrastructure |
February 2025 |
|
palaerospace[.]careers |
Domain |
Related infrastructure |
February 2025 |
|
rhealthylivingsolutions[.]com |
Domain |
Related infrastructure |
April 2025 |
|
sulumorbusinessservices[.]com |
Domain |
Related infrastructure |
April 2025 |
|
airbushiring[.]com |
Domain |
Related infrastructure |
April 2025 |
|
joinboeing[.]com |
Domain |
Related infrastructure |
May 2025 |
|
rheinmetallcareer[.]org |
Domain |
Related infrastructure |
May 2025 |
|
rheinmetallcareer[.]onlyoffice[.]com |
Domain |
Related infrastructure |
May 2025 |
|
rheinmetallcareer[.]com |
Domain |
Related infrastructure |
May 2025 |
|
careers-portal[.]org |
Domain |
Related infrastructure |
May 2025 |
|
boeinginformation[.]onlyoffice[.]com |
Domain |
Related infrastructure |
May 2025 |
|
airbus-careers[.]onlyoffice[.]com |
Domain |
Related infrastructure |
June 2025 |
|
airbus-survay[.]onlyoffice[.]com |
Domain |
Related infrastructure |
July 2025 |
|
malebachhew2506090936.onlyoffice[.]com |
Domain |
Related infrastructure |
July 2025 |
|
randcorp.onlyoffice[.]com |
Domain |
Related infrastructure |
July 2025 |
