Relatório de Inteligência de Ameaças: Campanha MANGO SANDSTORM Dindoor / Fakeset

Em fevereiro, o grupo MuddyWater (MANGO SANDSTORM/MERCURY) realizou uma campanha de espionagem contra uma instituição financeira nos EUA, um aeroporto americano, uma organização sem fins lucrativos canadense e uma subsidiária de software de defesa israelense. Utilizaram o backdoor Dindoor, um runtime Deno, para evitar detecções baseadas em PowerShell/Python, junto com o implante Fakeset em Python vinculado a ancestrais Stagecomp e Darkcomp. Dados foram exfiltrados via Rclone para armazenamento na nuvem Wasabi, enquanto a infraestrutura usou Backblaze B2, deno.land e domínios com fachada Cloudflare como uppdatefile[.]com para mascarar tráfego C2 em atividades legítimas em nuvem. Defensores devem priorizar a detecção de execuções Deno fora de ambientes de desenvolvimento, Rclone em contextos suspeitos e tráfego para storages comuns, visto que a ausência de IOCs tradicionais marca essa campanha.