شرکت امنیتی Proofpoint ادعا کرده است که یک گروه هکری ناشناس، که ممکن است به ایران مرتبط باشد، به برخی از سازمان‌های امارات متحده عربی در بخش‌های هوانوردی، ارتباطات ماهواره‌ای و زیرساخت‌های حمل‌ونقل حمله کرده است. بر اساس این گزارش، مهاجمان از روشی پیشرفته با نام فایل‌های چندگانه (Polyglot Files) برای پنهان کردن بدافزار جدیدی به نام Sosano استفاده کرده‌اند.

Proofpoint مدعی است که این حملات از طریق یک حساب ایمیل شرکت الکترونیکی هندی که در اکتبر 2024 هک شده بود، انجام شده است. مهاجمان از این حساب برای ارسال ایمیل‌های آلوده به شرکت‌های هدف در امارات استفاده کرده‌اند. طبق این ادعا، ایمیل‌ها حاوی لینکی برای دانلود یک فایل ZIP بوده که ظاهراً یک فایل اکسل (XLS) را شامل می‌شده، اما در واقع یک فایل LNK با پسوند دوگانه بوده است. علاوه بر این، دو فایل PDF نیز در حمله استفاده شده‌اند که دارای قابلیت چندگانه (Polyglot) بوده‌اند. یکی از این فایل‌ها حاوی یک HTA و دیگری شامل یک ZIP مخفی بوده است.

در این روش، فایل LNK برای اجرای دستورات اولیه و پردازش فایل‌های PDF/HTA چندگانه به کار رفته است. سپس اسکریپت HTA، یک فایل اجرایی و یک URL را از PDF دوم استخراج کرده و برای حفظ پایداری، URL را در رجیستری سیستم ثبت می‌کرد. در نهایت، بدافزار Sosano اجرا می‌شد که در زبان Golang نوشته شده و دارای قابلیت‌های محدودی بوده است.

به گفته Proofpoint، این بدافزار پس از اجرا برای مدت تصادفی در حالت خواب قرار می‌گیرد و سپس تلاش می‌کند به سرور فرماندهی و کنترل (C&C) متصل شود. این بدافزار می‌تواند دایرکتوری فعلی را مشاهده کند، مسیر کاری را تغییر دهد، محتوای دایرکتوری را لیست کند، فایل دانلود و اجرا کند، دایرکتوری را حذف کند و دستورات خط فرمان را اجرا کند.

همچنین در کد بدافزار، اشاره‌ای به اجرای یک محموله دوم با نام cc.exe شده است، اما این فایل در سرور کنترل موجود نبوده است.

این شرکت امنیتی معتقد است که روش‌های مورد استفاده در این حمله مشابه تاکتیک‌های برخی از گروه‌های هکری دیگر، از جمله TA451 و TA455، است که در برخی گزارش‌ها به هکرهای ایرانی مرتبط دانسته شده‌اند. البته، این شرکت تأکید کرده است که هنوز شواهد قطعی برای نسبت دادن این حمله به یک گروه خاص وجود ندارد.

یکی از محققان Proofpoint در این زمینه اظهار داشته است:
“تحلیل ما نشان می‌دهد که این حمله ممکن است کار یک گروه تهدید وابسته به ایران باشد، اما شواهد قطعی در این زمینه وجود ندارد. با توجه به حساسیت بخش‌های مورد هدف، احتمال می‌رود که این حمله با اهداف اطلاعاتی و ژئوپلیتیکی انجام شده باشد.”