Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Porta dos fundos Dindoor

Porta dos fundos Dindoor

Por Mezo em Malware, Ameaça Persistente Avançada (APT), Backdoors
Traduzir Para:

Pesquisas de inteligência sobre ameaças revelaram evidências de uma operação cibernética alinhada ao Estado iraniano que se infiltrou com sucesso nas redes de diversas organizações na América do Norte. As entidades afetadas incluem bancos, aeroportos, organizações sem fins lucrativos e a filial israelense de uma empresa de software que atende aos setores de defesa e aeroespacial.

A campanha foi atribuída ao MuddyWater, também conhecido como Seedworm, um grupo de ameaças cibernéticas associado ao Ministério da Inteligência e Segurança do Irã (MOIS). Os investigadores estimam que a operação começou no início de fevereiro de 2026. A atividade de rede ligada à campanha surgiu pouco depois dos ataques militares realizados pelos Estados Unidos e por Israel contra o Irã, sugerindo um possível gatilho geopolítico por trás da atividade cibernética.

Ao que tudo indica, foi dada especial atenção à divisão israelense da empresa de software visada. A empresa fornece soluções para diversos setores, incluindo defesa e aeroespacial, o que a torna um alvo estrategicamente valioso para coleta de informações e potencial para causar interrupções.

Dindoor: Uma porta dos fundos recém-identificada que explora o Deno

Analistas de segurança que examinaram as intrusões identificaram a implantação de um backdoor não documentado anteriormente, chamado Dindoor. O malware utiliza o ambiente de execução JavaScript Deno, uma técnica relativamente incomum que pode ajudar o malware a escapar da detecção em sistemas tradicionais de monitoramento de segurança.

Os ataques envolvendo o fornecedor de software, uma instituição bancária americana e uma organização canadense sem fins lucrativos parecem ter servido como pontos de entrada para a instalação dessa porta dos fundos.

Também foram identificadas evidências de tentativa de exfiltração de dados. Os investigadores observaram a utilização do utilitário Rclone para transferir informações do ambiente da empresa de software comprometida para um bucket de armazenamento em nuvem hospedado na Wasabi. No momento da análise, não estava claro se a tentativa de exfiltração de dados havia sido bem-sucedida.

Backdoor Fakeset aparece em outras redes comprometidas.

Um componente de malware separado, conhecido como Fakeset, escrito em Python, foi detectado nas redes de um aeroporto dos EUA e de outra organização sem fins lucrativos. Essa porta dos fundos foi obtida da infraestrutura associada à Backblaze, uma provedora de armazenamento e backup em nuvem com sede nos EUA.

A carga maliciosa foi assinada digitalmente usando um certificado que já havia sido associado a outras duas famílias de malware, Stagecomp e Darkcomp, ambas historicamente ligadas às operações da MuddyWater.

Pesquisadores de ameaças identificaram amostras de malware com as seguintes assinaturas associadas ao ecossistema MuddyWater:

  • Trojan:Python/MuddyWater.DB!MTB
  • Backdoor.Python.MuddyWater.a

Embora os próprios Stagecomp e Darkcomp não tenham sido detectados nas redes comprometidas examinadas nesta investigação, a reutilização do mesmo certificado digital sugere fortemente o envolvimento do mesmo agente malicioso, reforçando a atribuição ao Seedworm.

Expansão das capacidades cibernéticas e táticas de engenharia social do Irã

Nos últimos anos, os agentes cibernéticos iranianos aprimoraram significativamente suas capacidades operacionais. O desenvolvimento de seus malwares e suas ferramentas tornaram-se mais sofisticados, permitindo maior persistência furtiva e movimentação lateral mais eficaz dentro das redes das vítimas.

Igualmente notável é a expansão de suas estratégias de ataque focadas em humanos. Operadores iranianos têm demonstrado métodos de engenharia social cada vez mais avançados, incluindo campanhas de spear-phishing altamente direcionadas e operações de "isca" de longo prazo, projetadas para construir confiança com indivíduos de interesse. Essas táticas são frequentemente usadas para obter acesso a contas ou extrair informações confidenciais.

Vigilância por meio de câmeras vulneráveis

Investigações paralelas revelaram que outros grupos de ameaças ligados ao Irã estão ativamente sondando dispositivos de vigilância conectados à internet. Um desses grupos, o Agrius, também conhecido pelos pseudônimos Agonizing Serpens, Marshtreader e Pink Sandstorm, foi observado realizando varreduras em busca de infraestrutura vulnerável de videovigilância.

Pesquisadores documentaram tentativas de exploração de vulnerabilidades conhecidas em câmeras e sistemas de interfone com vídeo da Hikvision. Essas atividades se intensificaram em meio ao conflito em curso no Oriente Médio, particularmente em Israel e em diversos países do Golfo.

A campanha concentrou-se na exploração de vulnerabilidades que afetam equipamentos de vigilância da Dahua e da Hikvision, incluindo:

  • CVE-2017-7921
  • CVE-2023-6895
  • CVE-2021-36260
  • CVE-2025-34067
  • CVE-2021-33044

Analistas de segurança acreditam que tais comprometimentos podem auxiliar na coleta de informações militares, incluindo vigilância operacional e avaliação de danos de batalha (BDA) relacionados a operações com mísseis. Em alguns casos, intrusões de câmeras podem ocorrer antes dos lançamentos de mísseis para auxiliar na seleção de alvos ou no monitoramento dos resultados.

Atividade cibernética como precursora de operações cinéticas

O direcionamento coordenado da infraestrutura de vigilância está em consonância com avaliações de longa data de que a doutrina cibernética iraniana integra o reconhecimento digital ao planejamento militar mais amplo. Câmeras comprometidas podem fornecer inteligência visual em tempo real e consciência situacional.

Consequentemente, o monitoramento da atividade de varredura e das tentativas de exploração contra a infraestrutura de câmeras vinculada a ativos cibernéticos iranianos conhecidos pode servir como um sinal de alerta precoce para potenciais operações cinéticas subsequentes.

Aumento dos riscos de retaliação cibernética

O conflito crescente entre os Estados Unidos, Israel e Irã aumentou o risco de retaliação cibernética. Em resposta ao cenário de ameaças cada vez mais amplo, o Centro Canadense de Segurança Cibernética (CCCS) emitiu um alerta informando que o Irã provavelmente utilizará suas capacidades cibernéticas contra infraestruturas críticas e conduzirá operações de influência ou de informação para promover seus interesses estratégicos.

Esses desenvolvimentos destacam o papel crescente do ciberespaço como um campo de batalha paralelo durante conflitos geopolíticos, onde espionagem, sabotagem e coleta de informações acompanham cada vez mais as ações militares tradicionais.

Tendendo

Mais visto

Carregando...