Gdy uwaga świata skupia się na konfliktach zbrojnych, równolegle trwa cicha wojna w sieci. Irańska grupa hakerska Screening Serpens, znana także jako „Iranian Dream Job”, prowadzi kampanię szpiegowską wymierzoną w specjalistów z branży technologicznej i obronnej. Według analityków Unit 42 z Palo Alto Networks cyberprzestępcy podszywają się pod rekruterów i wykorzystują zaawansowane techniki, które pozwalają im ominąć systemy bezpieczeństwa jeszcze przed wykryciem zagrożenia.

W lutym 2026 roku, niemal równolegle z eskalacją napięć na Bliskim Wschodzie, analitycy Unit 42 z Palo Alto Networks odnotowali wyraźny wzrost aktywności irańskiej grupy hakerskiej Screening Serpens. Co istotne, kampania prowadzona była nawet w czasie poważnych ograniczeń dostępu do internetu w samym Iranie. Grupa, aktywna co najmniej od 2022 roku, z regionalnego zagrożenia przekształciła się w globalnie działającą organizację cyberprzestępczą, atakującą m.in. podmioty w USA, Izraelu, Zjednoczonych Emiratach Arabskich oraz Europie Zachodniej .

 

Fałszywe rekrutacje jako wektor ataku

Działania grupy Screening Serpens opierają się przede wszystkim na precyzyjnie przygotowanej socjotechnice. Hakerzy nie wysyłają masowych wiadomości, lecz tworzą wiarygodne i spersonalizowane oferty pracy, podszywając się pod znane firmy oraz platformy rekrutacyjne. Głównym celem są inżynierowie oprogramowania i specjaliści IT z sektorów lotniczego, obronnego oraz telekomunikacyjnego. Proces infekcji zaczyna się od przesłania pozornie niegroźnego pliku ZIP z ofertą pracy. Ofiara, przekonana, że łączy się z portalem do testów technicznych w ramach rekrutacji, w rzeczywistości uruchamia instalację złośliwego oprogramowania służącego do szpiegowania i przejmowania danych. Używany kod złośliwy należy m.in. do rodzin MiniUpdate oraz MiniJunk V2 .

To, co wyróżnia ostatnie aktywności Screening Serpens, to stosowanie wysoko zaawansowanych technik ataku. Grupa zaczęła wykorzystywać metodę znaną jako AppDomainManager hijacking, która pozwala przejąć kontrolę nad procesem jeszcze na etapie uruchamiania aplikacji .NET. Zamiast próbować omijać zabezpieczenia już działającego programu, hakerzy ingerują w sam proces jej uruchomienia, korzystając z legalnych plików konfiguracyjnych. W efekcie złośliwy kod uruchamia się bardzo wcześnie, jeszcze przed startem właściwej aplikacji i jej zabezpieczeń. Dzięki temu atakujący mogą ominąć część narzędzi monitorujących Windows, w tym mechanizmy zbierające dane wykorzystywane przez systemy bezpieczeństwa, a jednocześnie ukryć swoją aktywność w sposób utrudniający wykrycie. Dodatkowo przestępcy mogą utrzymać dostęp do zainfekowanego systemu, wykorzystując Harmonogram Zadań Windows i ukrywając swoje procesy pod nazwami przypominającymi moduły systemowe, takie jak „WindowsSecurityUpdate” .

 

– Wraz z rozwojem grup cyberprzestępców, takich jak Screening Serpens, które coraz częściej wykorzystują zaawansowane technologie, tradycyjne zabezpieczenia przestają być wystarczające. Organizacje potrzebują dziś wielowarstwowego podejścia do ochrony opartego na analizie zachowań, a nie tylko sygnatur złośliwych plików. Kluczowe jest wykrywanie już na etapie uruchomienia aplikacji nietypowych działań, takich jak AppDomain Hijacking czy wyłączanie telemetryki systemowej. Dzięki temu możliwe jest zatrzymanie złożonych ataków, zanim w pełni się rozwiną. Monitorowanie zachowania aplikacji staje się podstawą skutecznej, proaktywnej ochrony – wskazuje Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej.

 

Czy w Polsce jesteśmy bezpieczni?

Choć kampania opisana przez Unit 42 koncentruje się głównie na osi USA–Izrael–ZEA, techniki stosowane przez grupę Screening Serpens są doskonale znane polskim ekspertom. Raport CERT Polska za 2025 rok potwierdza ogromną skalę tego typu zagrożeń: oszustwa komputerowe, w tym phishing, zdominowały krajobraz bezpieczeństwa, stanowiąc aż 97,1% wszystkich zarejestrowanych incydentów (łącznie 253 238 przypadków) . W Polsce, podobnie jak w operacjach grupy irańskiej, najczęstszym wektorem ataku pozostaje inżynieria społeczna oraz profesjonalne podszywanie się pod zaufane instytucje i marki. Metody typu „Living-off-the-Land”, czyli użycie legalnych aplikacji i narzędzi systemowych w ataku, do których należy technika AppDomainManager hijacking, stanowią szczególne wyzwanie dla krajowych zespołów SOC zajmujących się incydentami bezpieczeństwa, ponieważ, jak zauważają analitycy CERT, pozwalają one napastnikom wykorzystywać narzędzia systemowe do omijania zabezpieczeń, a właściwy złośliwy kod jest często wgrywany dopiero po skutecznym wyłączeniu mechanizmów obronnych .

Wnioski z analiz Unit 42 są dość jednoznaczne: współczesne cyberataki nie opierają się wyłącznie na technicznych lukach w systemach. Coraz częściej ich skuteczność wynika z połączenia zaawansowanych narzędzi z precyzyjnie zaplanowaną manipulacją użytkownikami. Fałszywe rekrutacje, które jeszcze niedawno mogły wydawać się mało realnym scenariuszem, dziś stają się jedną z metod ataków wykorzystywanych przez grupy cyberprzestępców. Pokazuje to, że sama technologia ochrony nie wystarcza. Równie ważna jest świadomość użytkowników i umiejętność rozpoznawania nietypowych, podejrzanych schematów komunikacji. W praktyce oznacza to, że organizacje powinny traktować proces rekrutacyjny i kontakty z zewnętrznymi kandydatami do pracy jako realne źródło ryzyka, a nie wyłącznie standardowy element działalności. W świecie, w którym „oferta pracy” może być początkiem wieloetapowego ataku, kluczowe staje się połączenie edukacji pracowników z nowoczesnymi systemami wykrywania zagrożeń i reagowania na incydenty.