22 maja 2026 roku holenderscy śledczy zajmujący się przestępczością finansową wkroczyli do centrów danych w Dronten i Schiphol-Rijk, przejmując około 800 serwerów należących do firmy WorkTitans B.V. Na pierwszy rzut oka był to kolejny dostawca infrastruktury internetowej. Śledztwo wykazało jednak, że firma stanowiła ważny element zaplecza wykorzystywanego przez różne grupy cyberprzestępcze, w tym podmioty prowadzące operacje szpiegowskie powiązane z Iranem.
Historia WorkTitans zaczyna się rok wcześniej. W maju 2025 roku Unia Europejska nałożyła sankcje na operatora Stark Industries, dostawcę usług internetowych powiązanego z rosyjskimi operacjami wojny informacyjnej. Zamiast zakończyć działalność, osoby stojące za projektem miały stworzyć nowy podmiot „WorkTitans”, który według ustaleń śledczych wykorzystywał to samo zaplecze pod nową nazwą.
Analizy, w tym specjalistów ds. cyberbezpieczeństwa z Check Point Research, wskazują, że infrastruktura WorkTitans była wykorzystywana przez co najmniej trzy grupy zagrożeń powiązane z Iranem. Każda z nich prowadziła odrębne kampanie i atakowała inne cele, jednak wszystkie korzystały z usług tego samego dostawcy.
Trzy grupy zagrożeń
MuddyWater to grupa powiązana z irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). W swoich kampaniach phishingowych wykorzystywała autorski backdoor BugSleep, którym zastąpiła wcześniej używane legalne narzędzia do zdalnego zarządzania, takie jak ScreenConnect czy Atera Agent. Według Check Point Research infrastruktura WorkTitans była wykorzystywana jako element zaplecza Command-and-Control (C2) dla tego złośliwego oprogramowania. Głównym celem kampanii były organizacje izraelskie.
Kolejna grupa – Agrius, prowadziła z kolei kampanie wykorzystujące motyw rekrutacji do izraelskiego sektora obronnego. Ofiary trafiały na spreparowane strony internetowe i pobierały aplikację RafaelConnect.exe, nazwaną przez badaczy LONEFLEET. Program wyświetlał wiarygodny formularz aplikacyjny, jednocześnie instalując backdoor MURKYTOUR. Komunikacja zainfekowanych systemów odbywała się z wykorzystaniem infrastruktury WorkTitans.
Ostatnia ze zidentyfikowanych grup, Nimbus Manticore, koncentrowała się na pracownikach branż lotniczej, kosmicznej i obronnej. Napastnicy wykorzystywali fałszywe profile rekruterów na LinkedIn oraz spreparowane portale z ofertami pracy. Ofiary pobierały archiwa ZIP zawierające złośliwe biblioteki DLL uruchamiane metodą DLL side-loading. Pozwalało to uzyskać zdalny dostęp do systemu, kraść dane uwierzytelniające oraz rozwijać dalszą infiltrację środowiska. Grupa regularnie zmieniała dostawców VPS, a WorkTitans należało do wykorzystywanej przez nią infrastruktury.
Badacze odnotowali również wykorzystanie infrastruktury WorkTitans do skanowania celów na Bliskim Wschodzie pod kątem znanych podatności w kamerach IP. Aktywność ta została zaobserwowana tydzień przed rozpoczęciem przez siły amerykańskie operacji Epic Fury w lutym 2026 roku. Chociaż samo skanowanie nie dowodzi planowania działań sabotażowych, pokazuje, że infrastruktura mogła służyć do szerokiego rozpoznania potencjalnych celów.
Komentarz eksperta i rekomendacje dla firm
Biorący udział w badaniach infrastruktury eksperci Check Point Research wskazali na kluczowe wnioski dla strategii bezpieczeństwa firm. Po pierwsze, należy brać pod uwagę całe środowisko hostingowe (ASN). Pojedynczy adres IP hakerów może wyglądać na „czysty”, ale jeśli cała sieć (autonomiczny system ASN) generuje powtarzające się incydenty (phishing, malware, skany podatności), cały ten obszar powinien automatycznie trafić pod lupę. Po drugie, należy analizować historię pasywnego DNS. Nagły wysyp nowo zarejestrowanych, losowo nazwanych domen powiązanych z jedną pulą IP to czerwona flaga, która powinna odcinać ruch zanim nastąpi atak. Po trzecie, należy uważać na infrastrukturę anonimizującą – Próby logowania do systemów firmowych z węzłów wyjściowych sieci TOR, serwerów proxy czy komercyjnych VPN-ów wymagają natychmiastowej, głębokiej weryfikacji tożsamości, bez względu na reputację samego IP.
– Przejęcie infrastruktury WorkTitans, pokazuje, w jaki sposób liberalne środowiska hostingowe po cichu stają się wspólnym zapleczem dla wielu podmiotów państwowych prowadzących operacje całkowicie niezależnie od siebie. Wniosek dla specjalistów bezpieczeństwa nie dotyczy wyłącznie tych konkretnych grup. Reputacja dostawcy hostingu może być bardziej wiarygodnym wskaźnikiem zagrożenia niż pojedynczy adres IP. Jeśli analizujesz adresy IP wyłącznie w oderwaniu od szerszego kontekstu, umyka Ci pełny obraz sytuacji – ostrzega Sergey Shykevich, Group Manager Threat Intelligence w Check Point Research.
