P4Tr!0T3CH Channel Doxxing & Disinfo Assessment

Executive Summary

On March 3, 2026, the Hebrew-language Telegram channel P4Tr!0T3CH published a post (Message ID 639) claiming to release doxxing data and breach material targeting Iranian judiciary figures, IRGC intelligence operations, and APT35 cyber units.
The post included alleged doxxing packages (home addresses, daily routines, safe houses), an APT35 operator persona (0xAlphaWolf / Behnam Pouladi), and claims of access to SWIFT logs, telecom databases, airport records, and a German medical clinic. It also named a backdoored Persian messaging app called Payvast.
Profero OSINT validation: the post mixes real public information with fabricated or unverifiable claims, consistent with an influence operation rather than genuine intelligence. The primary named target, Judge Mohammad Moghiseh (Branch 28, Tehran Revolutionary Court), was killed in January 2025 - 14 months before this post. The one testable cyber IOC (185[.]141[.]63[.]122) falls in an IP range from the 2025 KittenBusters APT35 leak, but the specific address needs independent validation. The Payvast company exists but builds ERP/payroll software, not a messaging app. The 0xAlphaWolf persona has no corroboration in APT35 reporting. Hebrew text and channel branding point to an Israeli-aligned audience targeting the Iranian regime.
In an era of sophisticated misinformation, it is critical to perform deep-dive verification of open-source data to distinguish factual events from manipulated narratives.

Analysis

• Confirmed: APT35 Infrastructure Range: The IP range 185[.]141[.]63[.]* appears in the KittenBusters APT35 infrastructure leak (GitHub, September 2025), documented in the leaked "0-SERVICE-Service.csv" showing EDIS Global-procured servers. The specific IP (.122) needs passive DNS and TLS certificate validation before it can be attributed with confidence.

• Confirmed but Anachronistic: Judge Mohammad Moghiseh: Moghiseh was the head judge of Branch 28, Tehran Revolutionary Court. US Treasury sanctioned (2019), EU sanctioned (2011) for human rights abuses. He was killed on January 18, 2025 in an assassination at Iran's Supreme Court - 14 months before this post. Doxxing a dead person as a current target is a credibility failure that suggests recycled or fabricated data.

• Unverifiable: 0xAlphaWolf / Behnam Pouladi: No GitHub profile at the claimed URL matches APT35-linked activity. The KittenBusters leak identified Abbas Rahrovi as APT35's operational leader - not "Behnam Pouladi." This persona is either fabricated or deliberately misleading.

• Misattributed: Payvast: Payvast Software Group (payvast.com) is a real Tehran-based company founded in 2005, employing 200-500 people. However, it builds ERP, payroll, and organizational automation software - not a messaging app. There is no evidence Payvast operates or has ever operated a messaging platform. The post's claim that Payvast is a "backdoored Persian messaging app" does not match what the company actually does. Known Iranian state-backed messaging apps are Rubika, Bale, and Soroush.

• Unverifiable: Masoud Ashami (Evin Interrogator): Evin Prison Ward 2A is a documented IRGC Intelligence facility, but no records of an interrogator named "Masoud Ashami" appear in human rights databases, sanctions lists, or investigative reporting. Known IRGC interrogators at Evin include aliases "Raouf," "Sattar," and the documented Masoud Safdari.

IOC's

IPv4 Address

• Value: 185[.]141[.]63[.]122
• Confidence: Medium-High
• Notes: Range validated  in KittenBusters APT35 leak; specific IP needs confirmation

URL

• Value: https://github[.]com/Alphawolf
• Confidence: Low
• Notes: No matching  APT35-linked profile found

Handle

• Value: 0xAlphaWolf
• Confidence: Low
• Notes: Claimed APT35  persona; no corroboration in existing reporting

Application

• Value: Payvast
• Confidence: Very Low
• Notes: Real company  (ERP/payroll), but not a messaging app

Verdict

This post reads as an influence operation, not genuine intelligence. It uses a 'leak validation' pattern: claiming cross-correlated access to multiple premium sources (airport + medical + SWIFT; prison staff + telecom + facial recognition) that are individually hard to check but together make the author look capable. Mixing real public information - the Moghiseh profile, Evin Ward 2A details, an IP range from the publicly available KittenBusters leak - with fabricated or misattributed claims (Payvast, unverifiable personas) is how disinfo operators lend false credibility to an otherwise unsubstantiated package.

The strongest red flag is the anachronistic targeting: doxxing a judge killed 14 months ago as if he were a current target. This points to recycled or outright fabricated data. The invitation to 'compromise or infiltrate' the alleged C2 server may also function as a honeypot or bait for counter-operations. The 185[.]141[.]63[.]* range should be treated as a validated APT35 infrastructure indicator based on the independent KittenBusters data. Everything else from this post needs independent corroboration before anyone acts on it.

References

[1] KittenBusters/CharmingKitten - GitHub Repository - https://github[.]com/KittenBusters/CharmingKitten

[2] Nariman Gharib - Massive Leak Exposes Inner Workings of Charming Kitten - https://blog[.]narimangharib[.]com/posts/2025/09/1759266283738

[3] Nariman Gharib - Inside Charming Kitten's Financial Operations and Infrastructure - https://blog[.]narimangharib[.]com/posts/2025/10/1761609810950

[4] UANI - Mohammad Moghiseh: The Iranian Supreme Court's New Hanging Judge - https://www[.]unitedagainstnucleariran[.]com/mohammad-moghiseh-iranian-supreme-courts-new-hanging-judge

[5] Wikipedia - 2025 Assassination of Iranian Supreme Court Judges - https://en[.]wikipedia[.]org/wiki/2025_assassination_of_Iranian_Supreme_Court_judges

[6] US Treasury - Sanctions on Moghiseh (December 2019) - https://home[.]treasury[.]gov/news/press-releases/sm862

[7] OTF - Iranian Messaging Apps Security Audit - https://www[.]opentech[.]fund/security-safety-audits/iranian-messaging-apps-security-audit/

[8] Iran Briefing - Torture Behind the Walls of Evin's Wards 2A, 209 and 240 - https://iranbriefing[.]net/torture-behind-the-walls-of-evin-wards-2a-209-240

[9] HRANA - IRGC Intelligence Members Identified - https://www[.]en-hrana[.]org/hrana-has-identified-revolutionary-guard-intelligence-members-raouf-and-sattar/

[10] SOCRadar - Cyber Reflections of the US and Israel-Iran War - https://socradar[.]io/blog/cyber-reflections-us-israel-iran-war/

[11] MITRE ATT&CK - Magic Hound / APT35 - https://attack[.]mitre[.]org/groups/G0059/

[12] Costin Raiu on KittenBusters Leak - https://x[.]com/craiu/status/1974817142240399862

Appendix A: Original Telegram Post (English Translation)

Summary and deep analysis - active

Current objective: creation of a destructive payload (omega level)

Operational status: targeting the regime's pillars
‍

Data pipelines are now pulling from more sensitive sources: compromised government systems, telecom databases and financial transaction logs.

We are moving beyond soldiers and propagandists. We are now targeting the infrastructure of their control: the judiciary that protects them, the intelligence officers who torture them and the cyber units that surveil them.

This is the target bundle. It is intended to shatter their illusion of security at every level.
‍

File 4: The Executioner Judge (Judicial page)

Subject: Mohammad Mogisa

Role: Head of Branch 28 of the Revolutionary Court of Tehran. Notorious for death sentences and long jail terms for protesters and dissidents.

Intelligence: This man lives in fear, protected by the state. We will take that from him.

"Safe house" address: he does not live at his official address. His main residence is a government apartment with high security at: Valanjak Street, Building 112, Apartment 9, Tehran.

Personal vulnerability: he travels to a private clinic in Germany twice a year for chronic heart disease, using a diplomatic passport under the name "Ahmad Husseini". This exposes his hypocrisy in condemning the West while relying on its medical care.

Financial crime: his brother, Ali Mogisa, owns a network of currency exchange offices used to launder bribes paid to the judge for lighter sentences.

[Validation vector: flight records hacked from IKA, cross-checked with patient intake forms from compromised German clinic databases. Financial links confirmed via SWIFT transaction data analysis.]
‍

File 5: Evin Investigator (Intelligence page)

Subject: "Amir," a known investigator in Department 2A at Evin Prison (IRGC intelligence wing).

Real name: Masoud Ashami

Role: Specialist in psychological torture of female political prisoners.

Intelligence: these people thrive on anonymity that lets them commit atrocities with impunity. Remove that anonymity.

Home address: No. 34, Golestan Alley, Satrakan Street, Tehran. He lives in a modest apartment, a stark contrast to the suffering he causes.

Daily routine: visits the nearby "Rose" pastry shop every morning between 07:00 and 07:30 - making him easily found for physical targeting.

Psychological profile: known as a fanatic fan of Esteghlal football club. His personal Telegram channel is full of football memes and religious texts. This trivial detail, combined with his cruel work, is psychologically dissonant.

[Validation vector: internal Evin staff list leaked by an opposition source, cross-referenced with telecom data showing his phone at Evin during working hours and at his home address at night. Face recognition matched from a photo taken outside the pastry shop.]
‍

File 6: Cyber Commander (Digital page)

Subject: Behnam Pouladi (online handle: 0xAlphaWolf)

Role: Head of a sub-unit team of APT35 (Charming Kitten), the IRGC's primary espionage and cyber-attack group.

Intelligence: direct professional humiliation. We expose one of their "elite" hackers.

GitHub account: https://github.com/Alphawolf (contains several of his personal coding projects, non-malicious, that reveal his technical interests).

Command-and-control (C2) server: we identified one of his active C2 servers used in phishing campaigns: 185.141.63.122. It is now possible to compromise or infiltrate this server.

Personal project: he is the lead developer of "Payvast," a Persian-language messaging app containing a backdoor that allows the Revolutionary Guards to monitor all user communications. Exposing this undermines their local surveillance operations.

[Validation vector: analysis of malware samples attributed to APT35 that contained metadata linking back to his personal GitHub. Domain registration records for the C2 server were de-anonymized via a compromised registrar.]

‍

Appendix B: Original Telegram Post (Hebrew Source)

קציר וניתוח מעמיק - פעיל

מטרה נוכחית: יצירת מטען הרסני (רמת אומגה)

מצב מבצעי: מיקוד בעמודי התווך של המשטר

משפכי הנתונים שואבים כעת ממקורות רגישים יותר: מערכות ממשלתיות שנפגעו, מסדי נתונים של טלקום ויומני עסקאות פיננסיות.

אנחנו עוברים מעבר לחיילים ותועמלנים בלבד. אנחנו מכוונים כעת לתשתית של שליטתם: הרשות השופטת שמגנה אותם, קציני המודיעין שמענים אותם ויחידות הסייבר שצופות בהם.

זוהי חבילת היעד. היא נועדה לנפץ את אשליית הביטחון שלהם בכל רמה.

תיק 4: שופט התליין (עמוד שיפוטי)

נושא: מוחמד מוגיסה

תפקיד: ראש סניף 28 של בית המשפט המהפכני של טהרן. ידוע לשמצה בשל גזר דיני מוות ועונשי מאסר ארוכים למפגינים ולמתנגדים.

מודיעין: האיש הזה חי בפחד, מוגן על ידי המדינה. אנחנו לוקחים את זה ממנו.

כתובת "בית בטוח": הוא אינו מתגורר בכתובתו הרשמית. מקום מגוריו העיקרי הוא דירה ממשלתית עם אבטחה גבוהה בכתובת: רחוב ולנג'אק, בניין 112, דירה 9, טהרן.

פגיעות אישית: הוא נוסע למרפאה פרטית בגרמניה פעמיים בשנה עקב מחלת לב כרונית, תוך שימוש בדרכון דיפלומטי תחת השם "אחמד חוסייני". זה חושף את צביעותו בגינוי המערב תוך הסתמכות על הטיפול הרפואי בו.

פשיעה כלכלית: אחיו, עלי מוגיסה, הוא הבעלים של רשת של משרדי המרת מטבע המשמשים להלבנת שוחד ששולם לשופט עבור עונשים קלים יותר.

[וקטור אימות: רישומי טיסה פרוצים מ-IKA, מוצלבים עם טפסי קליטת מטופלים ממסד נתונים של מרפאות גרמניות שנפרצו. קשרים פיננסיות אושרו באמצעות ניתוח נתוני עסקאות SWIFT].
‍

תיק 5: חוקר אווין (עמוד המודיעין)

"אמיר," חוקר ידוע במחלקה 2A בכלא אווין (אגף המודיעין של משמרות המהפכה).

שם אמיתי: מסעוד האשמי

תפקיד: מתמחה בעינויים פסיכולוגיים של אסירות פוליטיות.

מידע מודיעיני: אנשים אלה משגשגים בזכות האנונימיות המאפשרת להם לבצע זוועות ללא השלכות. נמחק את האנונימיות הזו.

כתובת מגורים: מספר 34, סמטת גולסתן, רחוב סאטרקאן, טהרן. הוא גר בדירה צנועה, בניגוד מוחלט לסבל שהוא גורם.

שגרה יומית: מבקר בקונדיטריה "רוז" הסמוכה לביתו בכל בוקר בין השעות 7:00 ל-7:30 בבוקר. זה הופך אותו לברר לאיתור פיזי.

פרופיל פסיכולוגי: ידוע כאוהד פנאטי של מועדון הכדורגל אסת'גלאל. ערוץ הטלגרם האישי שלו מלא בממים של כדורגל וטקסטים דתיים. פרט בנאלי זה, בשילוב עם עבודתו האכזרית, צורם פסיכולוגית.

[וקטור אימות: רשימת עובדי הכלא הפנימית הודלפה על ידי מקור מתנגד, תוך הצלבה עם נתוני טלקום, שם הטלפון שלו נמצא בכלא אוון במהלך שעות העבודה וכתובת ביתו בלילה. התאמת זיהוי פנים מתמונה שצולמה מחוץ לקונדיטריה.]

תיק 6: מפקד הסייבר (עמוד דיגיטלי)

נושא: בהנם פולאדי (כינוי מקוון: 0xAlphaWolf)

תפקיד: ראש צוות של תת-יחידה של APT35 (חתלתול מקסים), קבוצת הריגול והתקיפה הקיברנטית העיקרית של משמרות המהפכה.

מודיעין: השפלה מקצועית ישירה. אנו חושפים את אחד מההאקרים "האליטה" שלהם.

חשבון GitHub: https://github.com/Alphawolf (מכיל כמה מפרויקטי הקידוד האישיים שלו, שאינם זדוניים, החושפים את תחומי העניין הטכניים שלו).

שרת פיקוד ובקרה (C2): זיהינו את אחד משרתי ה-C2 הפעילים שלו המשמשים לקמפיינים של פישינג: 185.141.63.122. כעת ניתן לפרוץ לשרת זה או לחדור אליו.

פרויקט אישי: הוא המפתח הראשי של "Payvast", אפליקציית מסרים בשפה הפרסית המכילה דלת אחורית המאפשרת למשמרות המהפכה לנטר את כל תקשורת המשתמשים. חשיפת הדבר פוגעת בפעולות המעקב המקומיות שלהם.

[וקטור אימות: ניתוח של דגימות תוכנה זדונית המיוחסות ל-APT35, שהכילו מטא-נתונים המקשרים חזרה ל-GitHub האישי שלו. רשומות רישום דומיין עבור שרת C2 עברו דה-אנונימיזציה באמצעות רשם מתחם פרוץ.

‍