De Amerikaanse Federal Bureau of Investigation (FBI) heeft een waarschuwing uitgegeven over Iraanse hackers die Telegram gebruiken als command-and-control (C2) infrastructuur bij malwareaanvallen. Deze aanvallen richten zich vooral op journalisten die kritiek uiten op de Iraanse regering, Iraanse dissidenten en andere oppositiegroepen wereldwijd.

De FBI koppelt deze aanvallen aan de Iraanse hacktivistengroep Handala, ook bekend als Handala Hack Team, Hatef of Hamsa, en aan de door de staat gesponsorde Homeland Justice-groep, die gelieerd is aan de Islamitische Revolutionaire Garde van Iran (IRGC). De aanvallers maken gebruik van social engineering om Windows-malware te installeren op de systemen van hun doelwitten. Deze malware stelt hen in staat om screenshots en bestanden van geïnfecteerde computers te stelen.

De waarschuwing volgt op de inbeslagname van vier domeinen die werden gebruikt door de Handala- en Homeland Justice-groepen, evenals een derde dreigingsactor genaamd Karma Below. Deze domeinen werden ingezet om aanvallen uit te voeren en gestolen data te lekken, met slachtoffers in de Verenigde Staten en wereldwijd. Eerder voerde Handala een aanval uit op het Amerikaanse medisch bedrijf Stryker, waarbij ongeveer 80.000 apparaten werden teruggezet naar fabrieksinstellingen via een Microsoft Intune wipe-commando na het compromitteren van een Windows domeinbeheerderaccount.

Daarnaast waarschuwde de FBI recent ook voor Russische dreigingsactoren die Signal- en WhatsApp-gebruikers via phishing aanvallen, gericht op personen met een hoge inlichtingenwaarde zoals (voormalige) Amerikaanse overheidsfunctionarissen, militairen, politici en journalisten. Deze waarschuwingen volgen op soortgelijke meldingen van Nederlandse en Franse cybersecurityautoriteiten.