APT Iraniano ataca redes de Banco, Aeroporto e Empresa de Software nos EUA
Aprofundamento CEVIU
Aprofundamento
O Seedworm (MuddyWater) não está apenas testando novos backdoors: está migrando para uma arquitetura de ataque mais silenciosa e difícil de bloquear. O Dindoor, em Deno, e o Fakeset, em Python, não são meras variações de ferramentas anteriores, são uma ruptura tática. Até 2025, o grupo dependia quase exclusivamente de PowerShell e DLL sideloading. Agora, ele explora ambientes com runtime não padrão (Deno) e linguagens com alta adoção em desenvolvimento corporativo (Python), contornando assinaturas de EDRs treinados para detectar PowerShell malicioso ou binários nativos. Ambos os backdoors usam certificados falsos de 'Amy Cherne' e 'Donald Gay', já associados a campanhas anteriores do grupo, o que mostra reuso deliberado de infraestrutura de confiança comprometida, não um erro operacional.
O contexto geopolítico é crítico: os ataques começaram em fevereiro de 2026, menos de 48 horas após a operação militar conjunta EUA-Israel 'Epic Fury', que matou Ali Khamenei. Isso não é coincidência, é um padrão documentado desde 2012. Mas agora há uma nova camada: o Handala Hack Team, ligado ao mesmo MOIS, já executou limpeza em massa de 200 mil dispositivos da Stryker usando comandos legítimos do Microsoft Intune. Ou seja, o risco não é só de wiper tradicional como Shamoon; é de 'wiper administrativo', que se disfarça de rotina de TI e escala via ferramentas autorizadas.
Por que isso importa
Empresas de setores críticos, bancos, aeroportos, defesa, não podem tratar esses backdoors como ameaças genéricas. O Dindoor opera em Deno, um runtime que muitas equipes de segurança ainda não monitoram nem bloqueiam por padrão. O Fakeset, baixado de servidores da Backblaze, explora confiança em nuvem legítima, e sua assinatura com certificados previamente usados revela que o grupo mantém cadeias de confiança persistentes, não efêmeras. Isso significa que simplesmente revogar um certificado não resolve: é preciso auditar todas as entidades que emitiram certificados para 'Amy Cherne' e 'Donald Gay', incluindo CA menores e provedores de código-signing pouco fiscalizados. A ameaça real não está no malware em si, mas na capacidade do Seedworm de operar dentro de fluxos de desenvolvimento e implantação modernos, sem acionar alarmes.
Perguntas frequentes
Por que usar Deno e Python é mais perigoso que PowerShell?
PowerShell é amplamente monitorado por EDRs e tem políticas de execução restritas em ambientes corporativos. Deno e Python, por outro lado, são runtime frequentemente permitidos por padrão em pipelines de CI/CD e ambientes de desenvolvimento. O Dindoor e o Fakeset escapam de detecção porque não usam técnicas clássicas de obfuscação, eles se parecem com código legítimo de automação e deploy.
O que fazer com certificados assinados por 'Amy Cherne' e 'Donald Gay'?
Revogue imediatamente todos os certificados emitidos por essas entidades em seus sistemas, não só os usados em softwares, mas também em TLS, autenticação de serviço e assinatura de scripts. Esses nomes já foram vinculados a pelo menos três campanhas distintas do MuddyWater entre 2025 e 2026. Não é um incidente isolado, é uma infraestrutura de confiança sistematicamente comprometida.
Como diferenciar um ataque do Handala de um incidente interno de TI?
Ataques do Handala usam comandos legítimos do Microsoft Intune, Azure AD e PowerShell para limpeza em massa, mas com padrões anômalos: execução em horários fora do SLA, uso de contas de Administrador Global com histórico de inatividade, e sequências de comandos que limpam dispositivos em lote sem auditoria prévia. Monitorar logs de 'DeviceWipeRequest' e 'RemoteWipe' no Intune é tão importante quanto procurar por malware.
Existe risco real de Shamoon em 2026?
Sim, mas não no formato antigo. O Shamoon original sobrescrevia MBRs. Hoje, o risco é de 'Shamoon 3.0': exfiltração seguida de apagamento via ferramentas administrativas legítimas (como o Intune da Stryker) ou ransomware de bandeira falsa (como o Chaos usado em janeiro de 2026). O objetivo não é resgate, mas destruição silenciosa com aparência de falha operacional.
Fontes
- security.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 09 de março de 2026
- Editoria
- CEVIU Segurança da Informação
