Uma nova pesquisa da equipe Symantec e Carbon Black Threat Hunter da Broadcom descoberto evidências de um grupo de hackers iraniano se infiltrando nas redes de várias empresas dos EUA, incluindo bancos, aeroportos, organizações sem fins lucrativos e o braço israelense de uma empresa de software.
A atividade foi atribuída a um grupo de hackers patrocinado pelo Estado chamado Água lamacenta (também conhecido como lagarta). É afiliado ao Ministério Iraniano de Inteligência e Segurança (MOIS). Estima-se que a campanha tenha começado no início de Fevereiro, com actividade recente detectada na sequência de ataques militares dos EUA e de Israel ao Irão.
“A empresa de software é fornecedora das indústrias de defesa e aeroespacial, entre outras, e está presente em Israel, com a operação da empresa em Israel parecendo ser o alvo desta atividade”, disse o fornecedor de segurança em um relatório compartilhado com o The Hacker News.
Descobriu-se que os ataques direcionados à empresa de software, bem como a um banco dos EUA e a uma organização sem fins lucrativos canadense, abrem caminho para um backdoor até então desconhecido chamado Dindoor, que aproveita o Deno Tempo de execução JavaScript para execução. A Broadcom disse que também identificou uma tentativa de exfiltrar dados da empresa de software usando o utilitário Rclone para um balde de armazenamento em nuvem Wasabi. No entanto, atualmente não se sabe se o esforço valeu a pena.
Também foi encontrado nas redes de um aeroporto dos EUA e de uma organização sem fins lucrativos um backdoor Python separado chamado Fakeset, que foi baixado de servidores pertencentes à Backblaze, uma empresa americana de armazenamento em nuvem e backup de dados. O certificado digital usado para assinar o Fakeset também foi usado para assinar os malwares Stagecomp e Darkcomp, ambos anteriormente vinculados ao MuddyWater.
Brigid O Gorman, analista sênior de inteligência da Symantec e Carbon Black Threat Hunter Team, disse que a Microsoft e a Kaspersky detectaram amostras associadas ao malware Stagecomp e Darkcomp com assinaturas vinculadas ao Muddywater – “Trojan:Python/MuddyWater.DB!MTB” para Microsoft e “Backdoor.Python.MuddyWater.a” para Kaspersky.
“Embora este malware não tenha sido visto nas redes visadas, o uso dos mesmos certificados sugere que o mesmo ator – nomeadamente o Seedworm – estava por trás da atividade nas redes das empresas norte-americanas”, disseram a Symantec e a Carbon Black.
“Os agentes de ameaças iranianos tornaram-se cada vez mais competentes nos últimos anos. Não só as suas ferramentas e malware melhoraram, mas também demonstraram fortes capacidades de engenharia social, incluindo campanhas de spear-phishing e operações de ‘armadilha de mel’ usadas para construir relacionamentos com alvos de interesse para obter acesso a contas ou informações confidenciais”.
As conclusões surgem no contexto de uma escalada do conflito militar no Irão, desencadeando uma série de ataques cibernéticos na esfera digital. Uma pesquisa recente da Check Point descobriu que o grupo hacktivista pró-palestino conhecido como Handala Hack (também conhecido como Void Manticore) roteia suas operações através de intervalos de IP Starlink para investigar aplicativos externos em busca de configurações incorretas e credenciais fracas.
Nos últimos meses, vários Adversários do nexo Irãcomo Agrius (também conhecido como Agonizing Serpens, Marshtreader e Pink Sandstorm), também observado verificação de câmeras Hikvision vulneráveis e soluções de intercomunicação de vídeo usando falhas de segurança conhecidas, como CVE-2017-7921 e CVE-2023-6895.
A segmentação, segundo a Check Point, intensificou-se na sequência do actual conflito no Médio Oriente. As tentativas de exploração contra câmaras IP testemunharam um aumento em Israel e nos países do Golfo, incluindo os Emirados Árabes Unidos, Qatar, Bahrein e Kuwait, juntamente com o Líbano e Chipre. A atividade destacou câmeras da Dahua e Hikvision, transformando as duas vulnerabilidades mencionadas em armas, bem como CVE-2021-36260, CVE-2025-34067e CVE-2021-33044.
“Tomadas em conjunto, estas descobertas são consistentes com a avaliação de que o Irão, como parte da sua doutrina, aproveita o compromisso de câmaras para apoio operacional e avaliação contínua de danos de batalha (BDA) para operações de mísseis, potencialmente em alguns casos antes dos lançamentos de mísseis”, disse a empresa. disse.
“Como resultado, rastrear a atividade de direcionamento de câmeras a partir de infraestruturas atribuídas específicas pode servir como um indicador precoce de potencial atividade cinética subsequente.”
A guerra dos EUA e de Israel com o Irão também motivou um parecer do Centro Canadiano para a Segurança Cibernética (CCCS), que advertido que o Irão provavelmente utilizará o seu aparelho cibernético para realizar ataques retaliatórios contra infra-estruturas críticas e operações de informação para promover os interesses do regime.
Alguns outros desenvolvimentos importantes que ocorreram nos últimos dias estão listados abaixo –
- Agências de inteligência israelenses hackeado na extensa rede de câmeras de trânsito de Teerã durante anos para monitorar os movimentos dos guarda-costas do aiatolá Ali Khamenei e de outras altas autoridades iranianas antes do assassinato do líder supremo na semana passada, o Financial Times relatado.
- O Corpo da Guarda Revolucionária Islâmica do Irã (IRGC) teve como alvo o data center da Amazon no Bahrein para apoiar a empresa às “atividades militares e de inteligência do inimigo”, informou a agência de notícias estatal Fars. disse no Telegram.
- Diz-se que estão em curso campanhas activas de limpeza contra os sectores energético, financeiro, governamental e de serviços públicos israelitas. “O arsenal de limpadores do Irã inclui mais de 15 famílias (ZeroCleare, Meteor, Dustman, DEADWOOD, Apóstolo, BFG Agonizer, MultiLayer, PartialWasher e outros)”, Anomali disse.
- Grupos APT patrocinados pelo Estado iraniano, como MuddyWater, Charming Kitten, OilRig, Elfin e Fox Kitten “demonstraram sinais claros de ativação e rápida reformulação, posicionando-se para operações de retaliação em meio à escalada do conflito”, LevelBlue disseacrescentando que “a cibernética representa uma das ferramentas assimétricas mais acessíveis do Irão para retaliação contra os estados do Golfo que condenaram os seus ataques e apoiam as operações dos EUA”.
- De acordo com Flashpoint, uma campanha cibernética massiva #OpIsrael envolvendo atores pró-Rússia e pró-Irã tem como alvo sistemas de controle industrial (ICS) israelenses e portais governamentais em todo o Kuwait, Jordânia e Bahrein. A campanha é conduzida por NoName057(16), Handala Hack, Fatemiyoun Electronic Team e Cyber Islam Resistance (também conhecida como 313 Team).
- Entre 28 de fevereiro de 2026 e 2 de março de 2026, o grupo hacktivista pró-Rússia Z-Pentest assumiu a responsabilidade por comprometer várias entidades sediadas nos EUA, incluindo sistemas ICS e SCADA e múltiplas redes CCTV. “O momento dessas alegações não verificadas, coincidindo com a Operação Epic Fury, sugere que o Z-Pentest provavelmente começou a priorizar entidades dos EUA como alvos”, disse Adam Meyers, chefe de Operações Contra Adversárias da CrowdStrike, ao The Hacker News.
“A capacidade cibernética ofensiva do Irã amadureceu e se tornou um instrumento durável de poder estatal usado para apoiar a coleta de inteligência, influência regional e sinalização estratégica durante períodos de tensão geopolítica”, disse UltraViolet Cyber disse. “Uma característica definidora da atual doutrina cibernética do Irã é a ênfase na identidade e nos aviões de controle de nuvem como a principal superfície de ataque”.
“Em vez de priorizar a exploração de dia zero ou malware altamente novo em escala, as operadoras iranianas tendem a se concentrar em técnicas de acesso repetíveis, como roubo de credenciais, pulverização de senhas e engenharia social, seguidas de persistência por meio de serviços empresariais amplamente implantados”.
As organizações são aconselhadas a reforçar sua postura de segurança cibernética, fortalecer os recursos de monitoramento, limitar a exposição à Internet, desabilitar o acesso remoto a sistemas de tecnologia operacional (OT), impor autenticação multifatorial (MFA) resistente a phishing, implementar segmentação de rede, fazer backups offline e garantir que todos os aplicativos voltados para a Internet, gateways VPN e dispositivos de borda estejam atualizados
“As organizações ocidentais devem continuar em alerta máximo para uma potencial resposta cibernética à medida que o conflito continua e a atividade pode ir além do hacktivismo e entrar em operações destrutivas”, disse Meyers.
Deseja saber mais sobre Golpes Online, Spam, Phishing e Cibersegurança Clique Aqui!