CEVIU Logo
Voltar
Cavern Manticore: Framework C2 Modular Iraniano Ligado ao MOIS Exposto

Cavern Manticore: Framework C2 Modular Iraniano Mira em Alvos Israelenses e de TI

Aprofundamento CEVIU

Aprofundamento

A descoberta do Cavern Manticore expõe um nível de sofisticação preocupante em campanhas de APTs com motivação estatal. Este framework modular, associado ao Ministério de Inteligência e Segurança (MOIS) do Irã e ao subgrupo Lyceum (OilRig), não só utiliza abuso de RMM e sideload de DLL para acesso inicial, mas também emprega uma arquitetura C2 construída em .NET com múltiplos formatos de compilação. Essa abordagem (.NET Framework, Mixed-Mode C++/CLI e Native AOT) dificulta significativamente a análise reversa, forçando analistas a alternar entre diferentes ferramentas e fluxos de trabalho para reconstruir metadados e entender o código.

Um ponto técnico notável é a tática do Cavern Manticore de isolar cada módulo de pós-exploração em um AppDomain dedicado. Isso permite que os operadores carreguem e descarreguem módulos sem conflitos e, crucialmente, eliminem artefatos de memória que poderiam ser usados em análises forenses. A evasão também é robusta nas comunicações: o tráfico C2 é cifrado com XOR e encapsulado em HTTPS/WSS, utilizando cabeçalhos HTTP específicos (User-Agent e X-User-token) que servem como identificadores cruciais para a detecção, mas são difíceis de discernir sem um monitoramento aprofundado.

O que mudou

A cobertura anterior do CEVIU já alertava para o aumento drástico no abuso de ferramentas RMM (Remote Monitoring and Management) por atores maliciosos. Em matéria de 20 de março de 2026, destacamos um salto de 277% nesses ataques, com grupos utilizando o software de gerenciamento remoto para acesso inicial. Agora, o Cavern Manticore valida essa tendência ao usar explicitamente a funcionalidade de atualização de software do SysAid e de outras ferramentas RMM para implantar seu agente. Essa é uma evolução do vetor, mostrando que APTs iranianos estão ativamente explorando uma vulnerabilidade tática já identificada, transformando um alerta em uma ameaça concreta e operacional.

Por que isso importa

Este framework representa uma ameaça séria para governos e empresas de tecnologia, especialmente as que operam infraestruturas críticas ou lidam com informações sensíveis. A sofisticação técnica do Cavern Manticore, desde sua ofuscação na compilação até o uso estratégico de AppDomains, torna a detecção e a resposta muito mais desafiadoras. O vínculo com o Irã reforça a natureza geopolítica desses ataques, indicando que a proteção contra espionagem e sabotagem digital é uma prioridade constante. A necessidade de monitorar de perto o abuso de ferramentas legítimas, como RMMs, e de investir em capacidade de análise de malware avançada é mais urgente do que nunca.

Linha do tempo

  1. APT iraniano Seedworm/MuddyWater ataca banco, aeroporto e empresa de software nos EUA.

  2. CEVIU alerta para o aumento do abuso de ferramentas RMM por atores de ameaça.

  3. Check Point Research revela o Cavern Manticore, framework C2 modular iraniano que mira alvos israelenses e de TI.

Perguntas frequentes

O que é o Cavern Manticore?

Cavern Manticore é um grupo de ameaça persistente avançada (APT) ligado ao Ministério de Inteligência e Segurança (MOIS) do Irã. Ele usa um sofisticado framework modular de C2 baseado em .NET, projetado para atacar principalmente organizações israelenses, incluindo empresas de TI e entidades governamentais.

Como o Cavern Manticore obtém acesso inicial aos sistemas?

O grupo abusa de recursos legítimos de atualização de software de ferramentas de RMM (Remote Monitoring and Management), como o SysAid. Eles implantam uma DLL maliciosa (uxtheme.dll) via sideloading, usando um executável legítimo como o WinDirStat.exe, para carregar seu agente nos sistemas das vítimas.

Por que a arquitetura do Cavern Manticore é tão difícil de analisar?

O framework usa uma mistura de formatos de compilação .NET (Framework, Mixed-Mode C++/CLI, Native AOT). Cada formato exige ferramentas de engenharia reversa e fluxos de trabalho diferentes, dificultando a análise. Além disso, o agente isola módulos em AppDomains separados, permitindo que sejam descarregados sem deixar vestígios forenses.

Quais são as principais recomendações para defender-se do Cavern Manticore?

Empresas devem auditar rigorosamente sideloading de DLLs, especialmente de arquivos como uxtheme.dll, e monitorar suas ferramentas RMM para uso indevido. Ficar atento a padrões específicos de User-Agent e cabeçalhos X-User-token nas comunicações de rede também é crucial para identificar e bloquear a atividade do C2.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
13 de julho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser