2021年3月至2022年6月，伊朗组织Charming Kitten使用新披露的Sponsor后门针对巴西、以色列和阿联酋的至少 34 名受害者发起了新一波攻击，针对政府和医疗保健机构，以及金融服务、工程、制造、技术、法律和电信等领域的公司。研究人员将此活动命名为Sponsoring Access 活动。攻击者利用Microsoft Exchange RCE漏洞（CVE-2021-26855）获得初始访问权限。Sponsor是一个C++后门，用于收集主机信息，处理接收到的指令并将结果发送回服务器。

Charming Kitten组织试图针对德国境内的伊朗人民和组织进行间谍活动。Charming Kitten组织使用复杂的社会工程并伪造适合受害者的在线身份，使用鱼叉式网络钓鱼试图获取受害者的机密数据。其目的是获取潜在受害者使用的在线服务，例如电子邮件帐户、云存储。

2023 年 5 月中旬，TA453组织(又名Charming Kitten、APT42)向一家专注于外交事务的美国智库的核安全专家发送了钓鱼电子邮件，该专家发送了一个指向谷歌脚本宏的恶意链接，该链接将目标重定向到托管 RAR 档案的 Dropbox URL，文件中有一个 LNK释放器，它启动了一个多阶段的过程，最终部署新型的PowerShell后门GorjolEcho。一旦意识到受害目标使用的是苹果电脑后，TA453 就会调整其整个操作方式，发送第二封电子邮件，邮件中包含一个 ZIP 档案，嵌入了伪装成 VPN 应用程序的 Mach-O 二进制文件，但实际上是一个 AppleScript，它可以连接到远程服务器下载一个名为 NokNok 的基于 Bash 脚本的后门。

Charming Kitten组织在近期发起的鱼叉式网络钓鱼活动中，分发其后门之一的更新版本，研究人员将这个变种称为 POWERSTAR（也称为CharmPower）。POWERSTAR变种具备以下功能：远程执行命令和代码块、通过多种方式实现持久化、动态更新配置信息、使用多种C2服务器获取文件、收集系统信息、检查受害主机是否曾经被感染等。POWERSTAR的新变种开始尝试从IPFS中获取攻击者托管的文件，并从中解码得到C2服务器地址。若存储在IPFS中的文件不可用，POWERSTAR则使用硬编码的C2地址进行后续的攻击流程。

Charming Kitten组织使用了一种名为BellaCiao的新型恶意软件，已出现来自美国、欧洲、中东（土耳其）和印度的受害者。BellaCiao充当个性化的投放程序，用于将其他恶意有效负载传送到受害者的机器上。专家们尚未确定最初的感染媒介，但认为攻击者使用了Microsoft Exchange漏洞利用链（如 ProxyShell、ProxyNotShell、OWASSRF）或类似的软件漏洞。部署后，BellaCiao 会立即尝试使用 PowerShell 命令禁用 Microsoft Defender。该恶意软件通过一个新的 服务实例实现持久化，专家还观察到攻击者试图从 http://188.165.174[.]199:18080 下载两个 IIS 后门。混合攻击的示例流程如下：

APT35组织与针对以色列的新一波网络钓鱼攻击有关，该攻击旨在部署名为PowerLess的后门的更新版本。攻击链始于一个 ISO 磁盘映像文件，该文件利用以伊拉克为主题的诱饵来释放一个自定义的内存下载程序，最终启动 PowerLess 植入程序。

名为“Mint Sandstorm(PHOSPHORUS)”的伊朗黑客组织正在对美国的关键基础设施进行网络攻击。2021年末到2022年中，Mint Sandstorm 的一个子组从侦察转向直接攻击美国的关键基础设施，包括海港、能源公司、运输系统、公用事业和天然气组织等。该组织通常使用公开披露的PoC，也会使用旧漏洞（例如Log4Shell）来攻击未打补丁的设备。以下是两种可能的攻击链：攻击链1 ：Mint Sandstorm 小组继续使用 Impacket 在受感染的组织中横向移动，并广泛依赖 PowerShell 脚本（而不是自定义植入程序）来枚举管理员帐户并启用 RDP 连接。在此攻击链中，子组使用 SSH 隧道进行命令和控制 (C2)，最终窃取 Active Directory 数据库，使用 Active Directory 数据库访问用户帐户的凭据。

2023年2月24日，多个参与中东政治事务研究的人在推特上表示，推特账户@SaShokouhi自称是大西洋理事会的雇员与其联络。分析表明，此次活动是Charming Kitten组织发起的网络钓鱼活动，目标是记录伊朗妇女和少数群体受压情况的研究人员。攻击者创建了一个虚假的账户，然后用它来联系目标，请求采访、协助报告或讨论共同兴趣。在几天或几周的时间里与目标建立了融洽的关系，然后会发送一个恶意链接或文档来钓鱼，试图访问受害者在线电子邮件服务、社交媒体服务的凭据。

总部位于俄罗斯的 SEABORGIUM (Callisto Group/TA446/COLDRIVER/TAG-53) 和总部位于伊朗的 TA453 (APT42/Charming Kitten/Yellow Garuda/ITG18) 继续成功地对英国的目标组织和个人进行鱼叉式网络钓鱼攻击和其他感兴趣的领域，用于信息收集活动。2022年，攻击者目标行业包括学术界、国防、政府组织、非政府组织、智库以及政治家、记者和活动家。

APT35又名Charming Kitten或Phosphorus，是来自伊朗的APT组织。近期，APT35组织在攻击活动中部署了一个名为PowerLess Backdoor的新PowerShell后门，该后门在.NET上下文中运行，而不是生成PowerShell进程。PowerLess Backdoor具有多种功能，包括下载和执行其他恶意软件和文件（键盘记录模块和浏览器信息窃取程序）、键盘记录、终止进程、窃取浏览器数据、执行任意命令等。此外，研究人员观察到Charming Kitten使用一种名为Hyperscrape的新工具从受害者邮箱中提取电子邮件。该工具允许攻击者从Yahoo、Google和Microsoft Outlook中提取电子邮件。