Seedworm: APT Iraniano ataca redes de Banco, Aeroporto e Empresa de Software nos EUA

A equipe Threat Hunter da Symantec detectou atividade do grupo Seedworm (MuddyWater) desde fevereiro em redes de um banco, um aeroporto e uma empresa de software ligada à defesa nos EUA, além de ONGs nos EUA e Canadá. O grupo utilizou dois novos backdoors identificados: Dindoor, um backdoor JavaScript/TypeScript baseado em Deno, e Fakeset, um backdoor Python, ambos assinados com certificados previamente ligados ao grupo. As intrusões ocorrem após ataques militares dos EUA e Israel ao Irã e coincidem com a escalada de atividade de grupos hacktivistas alinhados, como Handala e DieNet, aumentando a ameaça de ataques destrutivos tipo wiper, campanhas DDoS e operações de hack-and-leak contra infraestruturas críticas. ️ Defensores devem priorizar a implementação de MFA, o monitoramento de exfiltração via Rclone/cloud, a proteção DDoS para serviços públicos e backups offline imutáveis, dado o histórico iraniano de uso de payloads destrutivos, como Shamoon, durante períodos de escalada geopolítica.