安全解決方案提供商 Check Point 拋出的一份新報告提供了對伊朗威脅小組 Rocket Kitten（火箭貓咪）的進一步透析。

Rocket Kitten 至少2014年年初就已出現，其活動被多個安全公司所分析，包括“藏紅玫瑰行動”（Operation Saffron Rose ——火眼）、“新聞播報員”（Newscaster ——埃賽德咨詢）、“塔瑪水庫”（Thamar Reservoir ——晴空）和“羊毛金魚”（Woolen GoldFish ——趨勢科技）。

雖然他們的活動被安全公司緊密監視，這一 APT 小組看起來似乎絲毫未受影響，只是簡單地對其工具和網絡釣魚域名作了修改便繼續從事其行動。

Check Point 開始對 Rocket Kitten 進行分析是在該小組盯上它的客戶之一之后。在調查威脅執行人使用的網絡釣魚服務器時，專家們注意到：該服務器依賴的建站集成軟件包配置不當，任何人都可以不用密碼就獲取到 root 權限。

對攻擊者數據庫的分析顯示：共有超過1800名受害者為該網絡釣魚騙局所騙交出了他們的信息。每一個受害者都與某一特定的 Rocket Kitten 操作員有關。

舉例來說，一名操作員通過針對沙特阿拉伯的人權斗士、公司首席執行官們和政府官員的行動收獲了522名用戶的詳細信息。另一名操作員則針對北約國家、阿拉伯聯合酋長國、阿富汗、泰國和土耳其的國防產業，獲取到233名受害者的詳細資料。伊朗鄰國的大使館也在該操作員的目標范圍之內。

最忙碌的操作員要負責將近700名受害者，受害者列表中包含了沙特阿拉伯的學者、有影響力的人、教育組織和媒體機構。Check Point 拿到的數據庫顯示：該小組還對海外伊朗人、委內瑞拉實體、以色列核科學家、前軍官、國家安全和外交政策研究員感興趣。

該網絡釣魚網站的日志顯示：訪問者最大的組成成分來自沙特阿拉伯（18%）、美國（17%）、伊朗（16%）、荷蘭（8%）和以色列（5%）。專家確信，訪問了該釣魚網站頁面的人中有26%輸入了他們的憑證——目標精準長期釣魚下一個相對較高的成功率。

除了網絡釣魚服務器，研究人員還通過使用攻擊者硬編碼到惡意軟件中的管理員憑證成功黑進了 Rocket Kitten 的命令與控制（C&C）服務器。這讓 Check Point 找到了揭示這一網絡間諜組織的主要開發者“Wool3n.H4T”身份的蛛絲馬跡。

“這一案例，與其他之前的案例一樣，可以被認為是某官方機構招募了本地黑客并導引他們從愚弄網站轉向為他們的國家進行針對性間諜活動。這種沒經驗的非專業人員常常會由于缺乏訓練而反映出一種操作安全意識的匱乏，留下一大堆指向攻擊源頭與他們真實身份的線索。” Check Point 在其報告中稱。