האקרים שלכאורה קשורים לממשלת איראן מפעילים מתקפות סייבר כנג חברות יהלומים בדרום אפריקה, ישראל והונג קונג באמצעות נוזקת מגב. נוזקת מגב הינה סוג של תוכנה זדונית אשר נועדה למחוק את הכונן הקשיח של המחשב עליו היא מותקנת וכך למחוק בזדון נתונים ותוכנות. חוקרי סייבר מחברת ESET ייחסו את נוזקת המגב שקיבלה את השם Fantasy, לקבוצת Agrius הנחשבת לבעלת קשרים עם ממשלת איראן. ESET מסרה כי מדובר בקבוצה חדשה יחסית המכוונת לקורבנות בעיקר בישראל ובאיחוד האמירויות הערביות מאז 2020.
מסע מתקפות הסייבר האחרון שלהם החל בפברואר 2022 וכוון לחברות HR ו- IT ישראליות וכן למשתמשים בתוכנה ישראלית המשמשת בתעשיית היהלומים. חוקרי הסייבר של ESET טוענים כי מפעילי Agrius ביצעו מתקפת שרשרת אספקה תוך ניצול התוכנה הישראלית כדי לפרוס את נוזקת המגב החדשה שלהם Fantasy וכן, כלי חדש המשמש לתנועה רוחבית במערכות מידע. במתקפת הסייבר שהחלה בחודש פברואר השנה השתמשה הקבוצה בכלי קצירת אישורים על חברה דרום אפריקאית בתעשיית היהלומים, כאשר כתוצאה נגנבו שמות משתמשים וסיסמאות. עד ה- 12 במרץ הפעילה הקבוצה את נוזקת המגב על החברה הדרום אפריקאית כמו גם על חברות ישראליות ועל תכשיטן בהונג קונג.
ESET טוענים שמתקפת הסייבר נמשכה כשלוש שעות וכי הם הצליחו לחסום את נוזקת המגב מלהרוס נתונים. חוקרי הסייבר בחברה מצאו כי נוזקת המגב הותקנה באמצעות מתקפת שרשרת אספקה, תוך ניצול מנגנון עדכון תוכנה של מפתח תוכנה בלתי ידוע: "ראינו את מפתח התוכנה דוחף עדכונים תוך מספר שעות מההתקפה. פנינו למפתח התוכנה כדי להודיע לו על מתקפת סייבר, אבל פניותינו לא נענו", אמרו החוקרים. ESET מעריכים שנוזקת המגב קשורה למנגנון עדכון התוכנה מכיוון שכל הקורבנות היו לקוחות של מפתח התוכנה הספציפית ונוזקת המגב נקראה בשם דומה לגרסאות לגיטימיות של התוכנה.
כמו רוב קבוצות הפריצה, Agrius מנצלת פגיעויות ידועות ביישומים הפונים לאינטרנט כדי לנוע לרוחב ברחבי הרשת לפני פריסת נוזקות המגב שלה. ניתוח של נוזקת המגב העלה שהוא בנוי על בסיס נוזקת המגב של Apostle – כלי שהתחזה לתוכנת כופר בו השתמשה הקבוצה בשנים האחרונות. חברת אבטחת הסייבר Sentinel Labs פרסמה בשנה שעברה דו"ח הבוחן את הכופרה של Apostle וגילתה שבמקום כופרה מדובר בנוזקת מגב אשר הורסת נתונים ולא מחזיקה אותם למטרת סחיטה. נוזקת המגב Fantasy אינה משתמשת בכופרה של Apostle ובמקום זאת מוחקת מידע. חוקרי הסייבר של חברת ESET טוענים כי מאז גילויה ב- 2021 התמקדה קבוצת Agrius אך ורק בפעולות הרס נתונים. לשם כך, ככל הנראה ביצעו מפעילי Agrius מתקפת שרשרת אספקה על ידי מיקוד במנגנוני עדכון התוכנה של חברת התוכנה הישראלית כדי לפרוס את נוזקת המגב Fantasy. יש לציין כי לקבוצות פריצה הקשורות לאיראן יש היסטוריה ארוכה של פריסת נוזקות מגב והסתרת מתקפות מחיקת נתונים במסווה של כופרה. מקרים קודמים כוללים את הנוזקות Shamoon, ZeroClare ו- Dustman.
