谷歌威脅分析小組（TAG）發現，名為Charming Kitten的伊朗政府支持團體，在其惡意軟件庫中增加了一個新工具，可以從Gmail、雅虎和微軟Outlook賬戶中檢索用戶數據。

谷歌將該工具稱為HYPERSCRAPE，該工具在2021年12月首次被發現。據說伊朗用這個開發中的軟件入侵了二十余個帳戶，已知最早的樣本可以追溯到2020年。

Charming Kitten是一個高度活躍的高級持續性威脅（APT），據信與伊朗的伊斯蘭革命衛隊（IRGC）有關，曾參與過與政府利益一致的間諜活動。

它還被追蹤為APT35、Cobalt Illusion、ITG18、Phosphorus、TA453和Yellow Garuda，該組織的成員還進行勒索軟件攻擊，這表明威脅者的動機既包含間諜活動，又包含經濟原因。

谷歌TAG研究員Ajax Bash說："HYPERSCRAPE需要受害者的賬戶憑證，通過劫持的有效、認證的用戶會話或者攻擊者已經獲得的憑證運行。

該工具以.NET編寫，可以在Windows機器上運行，它具有下載和竊取受害者電子郵件收件箱內容的功能，此外，它還可以刪除谷歌發送的安全郵件。

如果一封郵件原本是未讀的，該工具會在打開并下載郵件的".eml "文件后將其標記為未讀。更重要的是，據說HYPERSCRAPE的早期版本包含了一個從谷歌Takeout請求數據的選項，該功能允許用戶將他們的數據導出到一個可下載的存檔文件中。

在此之前，普華永道最近發現了一個基于C++的Telegram "抓取 "工具，用于獲取特定賬戶的Telegram信息和聯系人。

此前，Charming Kitten還部署了一個名為LittleLooter的定制安卓監控軟件，這是一款功能豐富的植入軟件，能夠收集存儲入侵設備中的敏感信息，并記錄音頻、視頻和通話。

研究員表示："像他們的許多工具一樣，HYPERSCRAPE技術并不復雜，但能高效地實現目標。”他表示，受影響的賬戶已被重新保護，并通知了受害者。