Cavern Manticore: Framework C2 Modular Iraniano Mira em Alvos Israelenses e de TI
Aprofundamento CEVIU
Aprofundamento
A descoberta do Cavern Manticore expõe um nível de sofisticação preocupante em campanhas de APTs com motivação estatal. Este framework modular, associado ao Ministério de Inteligência e Segurança (MOIS) do Irã e ao subgrupo Lyceum (OilRig), não só utiliza abuso de RMM e sideload de DLL para acesso inicial, mas também emprega uma arquitetura C2 construída em .NET com múltiplos formatos de compilação. Essa abordagem (.NET Framework, Mixed-Mode C++/CLI e Native AOT) dificulta significativamente a análise reversa, forçando analistas a alternar entre diferentes ferramentas e fluxos de trabalho para reconstruir metadados e entender o código.
Um ponto técnico notável é a tática do Cavern Manticore de isolar cada módulo de pós-exploração em um AppDomain dedicado. Isso permite que os operadores carreguem e descarreguem módulos sem conflitos e, crucialmente, eliminem artefatos de memória que poderiam ser usados em análises forenses. A evasão também é robusta nas comunicações: o tráfico C2 é cifrado com XOR e encapsulado em HTTPS/WSS, utilizando cabeçalhos HTTP específicos (User-Agent e X-User-token) que servem como identificadores cruciais para a detecção, mas são difíceis de discernir sem um monitoramento aprofundado.
O que mudou
A cobertura anterior do CEVIU já alertava para o aumento drástico no abuso de ferramentas RMM (Remote Monitoring and Management) por atores maliciosos. Em matéria de 20 de março de 2026, destacamos um salto de 277% nesses ataques, com grupos utilizando o software de gerenciamento remoto para acesso inicial. Agora, o Cavern Manticore valida essa tendência ao usar explicitamente a funcionalidade de atualização de software do SysAid e de outras ferramentas RMM para implantar seu agente. Essa é uma evolução do vetor, mostrando que APTs iranianos estão ativamente explorando uma vulnerabilidade tática já identificada, transformando um alerta em uma ameaça concreta e operacional.
Por que isso importa
Este framework representa uma ameaça séria para governos e empresas de tecnologia, especialmente as que operam infraestruturas críticas ou lidam com informações sensíveis. A sofisticação técnica do Cavern Manticore, desde sua ofuscação na compilação até o uso estratégico de AppDomains, torna a detecção e a resposta muito mais desafiadoras. O vínculo com o Irã reforça a natureza geopolítica desses ataques, indicando que a proteção contra espionagem e sabotagem digital é uma prioridade constante. A necessidade de monitorar de perto o abuso de ferramentas legítimas, como RMMs, e de investir em capacidade de análise de malware avançada é mais urgente do que nunca.
Linha do tempo
APT iraniano Seedworm/MuddyWater ataca banco, aeroporto e empresa de software nos EUA.
CEVIU alerta para o aumento do abuso de ferramentas RMM por atores de ameaça.
Check Point Research revela o Cavern Manticore, framework C2 modular iraniano que mira alvos israelenses e de TI.
Perguntas frequentes
O que é o Cavern Manticore?
Cavern Manticore é um grupo de ameaça persistente avançada (APT) ligado ao Ministério de Inteligência e Segurança (MOIS) do Irã. Ele usa um sofisticado framework modular de C2 baseado em .NET, projetado para atacar principalmente organizações israelenses, incluindo empresas de TI e entidades governamentais.
Como o Cavern Manticore obtém acesso inicial aos sistemas?
O grupo abusa de recursos legítimos de atualização de software de ferramentas de RMM (Remote Monitoring and Management), como o SysAid. Eles implantam uma DLL maliciosa (uxtheme.dll) via sideloading, usando um executável legítimo como o WinDirStat.exe, para carregar seu agente nos sistemas das vítimas.
Por que a arquitetura do Cavern Manticore é tão difícil de analisar?
O framework usa uma mistura de formatos de compilação .NET (Framework, Mixed-Mode C++/CLI, Native AOT). Cada formato exige ferramentas de engenharia reversa e fluxos de trabalho diferentes, dificultando a análise. Além disso, o agente isola módulos em AppDomains separados, permitindo que sejam descarregados sem deixar vestígios forenses.
Quais são as principais recomendações para defender-se do Cavern Manticore?
Empresas devem auditar rigorosamente sideloading de DLLs, especialmente de arquivos como uxtheme.dll, e monitorar suas ferramentas RMM para uso indevido. Ficar atento a padrões específicos de User-Agent e cabeçalhos X-User-token nas comunicações de rede também é crucial para identificar e bloquear a atividade do C2.
Fontes
- research.checkpoint.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 13 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

