Operação Storming Tide: Uma campanha de intrusão massiva e multi-estágio

Mora_001, um ator de ameaça com conexão russa previamente vinculado ao ransomware SuperBlack, foi associado pela Fortgale IR a uma campanha coordenada por múltiplos grupos, denominada "Storming Tide". Esta campanha ataca aparelhos de perímetro Fortinet via CVE-2024-55591 e CVE-2025-24472, estabelecendo túneis VPN persistentes através da conta de serviço forticloud-sync, seguida por meses de dormência para evitar detecção. A cadeia de ataque evoluiu de Matanbuchus 3.0 (MaaS loader usando ChaCha20+Protobuf C2) para Astarion RAT (execução PowerShell na memória, criptografada com RSA) e SystemBC (proxy SOCKS5 para ofuscação C2), com RClone preparado para exfiltração para armazenamento compatível com S3 — marcando a primeira cadeia de entrega publicamente documentada de Matanbuchus para SystemBC. Defensores devem buscar as contas forticloud-sync/forticloud-tech em dispositivos FortiGate, monitorar carregamento lateral de DLL jli.dll sob java.exe em C:\ProgramData\USOShared, e tratar tarefas agendadas JavaUpdate ou JavaMainUpdate como indicadores de comprometimento de alta confiança. Os IOCs incluem IPs C2 213.226.113[.]74 e 86.106.143[.]137 e o domínio www[.]ndibstersoft[.]com.