CEVIU Logo
Voltar

APT Iraniano ataca redes de Banco, Aeroporto e Empresa de Software nos EUA

Aprofundamento CEVIU

Aprofundamento

O Seedworm (MuddyWater) não está apenas testando novos backdoors: está migrando para uma arquitetura de ataque mais silenciosa e difícil de bloquear. O Dindoor, em Deno, e o Fakeset, em Python, não são meras variações de ferramentas anteriores, são uma ruptura tática. Até 2025, o grupo dependia quase exclusivamente de PowerShell e DLL sideloading. Agora, ele explora ambientes com runtime não padrão (Deno) e linguagens com alta adoção em desenvolvimento corporativo (Python), contornando assinaturas de EDRs treinados para detectar PowerShell malicioso ou binários nativos. Ambos os backdoors usam certificados falsos de 'Amy Cherne' e 'Donald Gay', já associados a campanhas anteriores do grupo, o que mostra reuso deliberado de infraestrutura de confiança comprometida, não um erro operacional.

O contexto geopolítico é crítico: os ataques começaram em fevereiro de 2026, menos de 48 horas após a operação militar conjunta EUA-Israel 'Epic Fury', que matou Ali Khamenei. Isso não é coincidência, é um padrão documentado desde 2012. Mas agora há uma nova camada: o Handala Hack Team, ligado ao mesmo MOIS, já executou limpeza em massa de 200 mil dispositivos da Stryker usando comandos legítimos do Microsoft Intune. Ou seja, o risco não é só de wiper tradicional como Shamoon; é de 'wiper administrativo', que se disfarça de rotina de TI e escala via ferramentas autorizadas.

Por que isso importa

Empresas de setores críticos, bancos, aeroportos, defesa, não podem tratar esses backdoors como ameaças genéricas. O Dindoor opera em Deno, um runtime que muitas equipes de segurança ainda não monitoram nem bloqueiam por padrão. O Fakeset, baixado de servidores da Backblaze, explora confiança em nuvem legítima, e sua assinatura com certificados previamente usados revela que o grupo mantém cadeias de confiança persistentes, não efêmeras. Isso significa que simplesmente revogar um certificado não resolve: é preciso auditar todas as entidades que emitiram certificados para 'Amy Cherne' e 'Donald Gay', incluindo CA menores e provedores de código-signing pouco fiscalizados. A ameaça real não está no malware em si, mas na capacidade do Seedworm de operar dentro de fluxos de desenvolvimento e implantação modernos, sem acionar alarmes.

Perguntas frequentes

Por que usar Deno e Python é mais perigoso que PowerShell?

PowerShell é amplamente monitorado por EDRs e tem políticas de execução restritas em ambientes corporativos. Deno e Python, por outro lado, são runtime frequentemente permitidos por padrão em pipelines de CI/CD e ambientes de desenvolvimento. O Dindoor e o Fakeset escapam de detecção porque não usam técnicas clássicas de obfuscação, eles se parecem com código legítimo de automação e deploy.

O que fazer com certificados assinados por 'Amy Cherne' e 'Donald Gay'?

Revogue imediatamente todos os certificados emitidos por essas entidades em seus sistemas, não só os usados em softwares, mas também em TLS, autenticação de serviço e assinatura de scripts. Esses nomes já foram vinculados a pelo menos três campanhas distintas do MuddyWater entre 2025 e 2026. Não é um incidente isolado, é uma infraestrutura de confiança sistematicamente comprometida.

Como diferenciar um ataque do Handala de um incidente interno de TI?

Ataques do Handala usam comandos legítimos do Microsoft Intune, Azure AD e PowerShell para limpeza em massa, mas com padrões anômalos: execução em horários fora do SLA, uso de contas de Administrador Global com histórico de inatividade, e sequências de comandos que limpam dispositivos em lote sem auditoria prévia. Monitorar logs de 'DeviceWipeRequest' e 'RemoteWipe' no Intune é tão importante quanto procurar por malware.

Existe risco real de Shamoon em 2026?

Sim, mas não no formato antigo. O Shamoon original sobrescrevia MBRs. Hoje, o risco é de 'Shamoon 3.0': exfiltração seguida de apagamento via ferramentas administrativas legítimas (como o Intune da Stryker) ou ransomware de bandeira falsa (como o Chaos usado em janeiro de 2026). O objetivo não é resgate, mas destruição silenciosa com aparência de falha operacional.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
09 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser